És necessari tenir un delegat de protecció de dades a la meva empresa?

15 febrer 2018
Segons el Reglament i el Projecte de Llei de LOPD, serà obligatori tenir un Delegat de Protecció de Dades (DPO) a certes empreses.

El nou Reglament General de Protecció de Dades (RGPD) i el Projecte de Llei de LOPD estableixen com a elements claus la figura del Delegat de Protecció de Dades per garantir el compliment de la normativa de la protecció de dades en les organitzacions, sense substituir les funcions que desenvolupen les autoritats de control.

Aquesta figura, coneguda popularment com a DPO (Data Protection Officer), pot ser intern o extern, persona física o jurídica. Haurà de tenir autonomia, els recursos necessaris i accés total a les dades i tractaments. Ha de tenir independència, no pot rebre instruccions, ni pot ser sancionat pel desenvolupament de les seves funcions.

Segons el Reglament i el Projecte de Llei de LOPD, serà obligatori tenir un Delegat de Protecció de dades (DPO) a les següents empreses:

  • En autoritats i organismes públics.
  • Quan es realitzi el tractament a gran escala de dades sensibles.
  • En col·legis professionals i els seus consells generals.
  • En centres docents que ofereixen ensenyament i a les universitats públiques i privades.
  • Les empreses que presten serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
  • Les entitats d’ordenança, supervisió i solvència d’entitats de crèdit.
  • Els establiments financers de crèdit.
  • Les entitats asseguradores i reasseguradores.
  • Les empreses de serveis d’inversió.
  • Els centres sanitaris legalment obligats a guardar historials clínics dels pacients.
  • Les entitats que tinguin com un dels seus objectius l’emissió d’informes comercials que puguin referir-se a persones físiques.
  • Les operadores que desenvolupin l’activitat del joc mitjançant els canals electrònics, informàtics, telemàtics o interactius.
  • Qui desenvolupi activitats de seguretat privada.
  • Els distribuïdors i comercialitzadors d’energia elèctrica i gas natural.
  • Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i de crèdit o dels fitxers comuns, per a la gestió i prevenció del frau, inclosos els responsables dels fitxers de prevenció de blanqueig de capital i del finançament del terrorisme.
  • Les entitats que desenvolupin activitats de publicitat i prospecció comercial, les d’investigació comercial i de mercats, quan es portin a terme tractaments basats en les preferències dels afectats o es realitzin activitats que impliquin l’elaboració de perfils d'aquests.

Encara que no sigui obligatòria, la figura del DPO no eximeix les empreses de complir la responsabilitat de realitzar un tractament correcte de les dades.

Quines són les funcions del Delegat de Protecció de Dades?

  • Informar i assessorar el responsable o l'encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades.
  • Supervisar que es compleix la normativa.
  • Assessorar respecte de l'avaluació d'impacte relativa a la protecció de dades.
  • Cooperar amb l'autoritat de control.
  • Actuar com a punt de contacte per a qüestions relatives al tractament.

 

El Delegat de Protecció de Dades s’ha de nomenar tenint en compte les seves qualificacions professionals i, sobretot, el seu coneixement de la legislació i la pràctica de protecció de dades. Això no significa que el DPD hagi de tenir una titulació específica. Tenint en compte que entre les funcions del DPD s'inclou l'assessorament al responsable o l’encarregat en tot el referent a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris.

L’Agència Espanyola de Protecció de Dades (AEPD) ha impulsat una certificació, amb la col·laboració de l’Entitat Nacional d’Acreditació (ENAC), per garantir la seguritat en el tractament de dades a totes aquelles empreses que incorporin la figura del Delegat de Protecció de Dades. Per tal de poder accedir a aquesta certificació, els candidats hauran de complir una sèrie de requisits bàsics o prevís.

Per a més informació posa't en contacte amb Gemma Soro, gsoro@pimec.org, Departament Jurídic de PIMEC.