Si tens una empresa i estàs dubtant de si necessites incorporar la figura d’un Delegat de Protecció de Dades, en aquest article et resolem tots els dubtes que ens solen arribar en relació amb aquesta temàtica.
Necessito un Delegat de Protecció de Dades a la meva empresa?
Tot i que hagin passat uns quants anys des de l’aplicació del RGPD, la figura del Delegat de Protecció de Dades (DPD o DPO) continua generant dubtes en les empreses.
Avui t’explicarem en quins casos és obligatori comptar amb aquesta figura, quina formació ha de tenir un DPD i altres dubtes freqüents que solen tenir els nostres clients.
Quines empreses estan obligades a tenir un Delegat de Protecció de Dades?
El Delegat de Protecció de Dades és obligatori segons el RGPD quan:
- Les dades les tracti una autoritat o organisme públic (ex: Ajuntaments)
- L’activitat del responsable requereixi una observació habitual o sistemàtica d’interessats a gran escala (ex: Centre comercial amb sistemes de videocàmeres)
- Es realitzi un tractament a gran escala de categories especials de dades (ex: Centres mèdics)
I segons la LOPDGDD en els següents supòsits:
- els col·legis professionals i els seus consells generals,
- els centres escolars reglats i universitats, tant públiques com privades,
- les entitats que exploten xarxes i presten serveis de comunicacions electròniques,
- les entitats i establiments financers de crèdit, companyies assegurades i reasseguradores,
- les empreses de serveis d’inversió,
- les distribuïdores i comercialitzadores d’energia elèctrica i gas natural,
- les entitats responsables de fitxers que avaluen la solvència patrimonial i crèdit,
- els responsables de fitxers regulats per la llei de prevenció de blanqueig de capitals,
- les entitats que desenvolupen activitats de publicitat i prospecció comercial (quan les seves activitats impliquen elaboració de perfils),
- els centres sanitaris obligats al manteniment de les històries clíniques dels pacients (no els qui exerceixen aquestes activitats a títol individual),
- qui emeti informes comercials que puguin referir-se a persones físiques,
- els desenvolupadors d’activitats de joc a través de canals electrònics, informàtics, telemàtics i interactius,
- les empreses de seguretat privada i
- les federacions esportives quan tracten dades de menors d’edat.
Puc nomenar un Delegat de Protecció de Dades encara que no estigui obligat?
Si l’activitat del nostre negoci o empresa no es troba en cap dels supòsits mencionats en l’apartat anterior, podem nomenar igualment un Delegat de Protecció de Dades.
Nomenar un DPD no ens penalitza, tot el contrari. És una mesura proactiva (principi de Responsabilitat Proactiva del RGPD) que assegura un control de compliment i que l’Agència Espanyola de Protecció de Dades valorarà de forma positiva davant un possible requeriment.
Per contra, si estem obligats a tenir un DPD i no ho hem fet, això sí pot implicar elevades sancions per parts de l’Autoritat competent, en el nostre cas l’AEPD.
On he de comunicar el nomenament d’un Delegat de Protecció de Dades?
El nomenament d’un Delegat de Protecció de Dades per la nostra empresa pot fer-se a l’Agència Espanyola de Protecció de Dades a la seva seu electrònica.
Que fa el Delegat de Protecció de Dades?
El DPD rendirà comptes davant el més elevat nivell jeràrquic de l’entitat i no podrà rebre instruccions en el que respecte al desenvolupament de les seves funcions.
Algunes de les funcions més destacables són:
- Informar i assessorar el responsable o encarregat de tractament i als treballadors que s’ocupen del tractament sobre les seves obligacions en matèria de protecció de dades.
- Supervisar el compliment del disposat en el RGPD i altres normatives sobre protecció de dades.
- Realitzar auditories de control.
- Assessorar respecte a la realització d’avaluacions d’impacte.
- Cooperar amb l’autoritat de control i ser el punt de contacte entre aquesta i l’entitat.
- Proporcionar suport en la gestió de les bretxes de seguretat.
- Atendre els interessats que es posin en contacte amb el DPD.
- Gestió dels drets dels afectats.
Què estudiar per ser Delegat de Protecció de Dades?
El DPD haurà de comptar amb coneixements especialitzats en dret sobre protecció de dades i certs coneixements en matèria de sistemes d’informació per portar a terme de manera correcta les funcions assignades mencionades anteriorment.
L’AEPD va emetre un informe sobre les directrius que han de complir els Delegats de Protecció de Dades.
A més, en la nostra acadèmia online oferim diferents cursos per rebre la formació necessària en aquesta matèria. Consulta’ls aquí.
El Delegat de Protecció de Dades ha d’estar certificat?
Encara que la certificació no és obligatòria, el nomenament del DPD sempre haurà de realitzar-se tenint en compte les seves qualitats professionals i coneixements en normativa sobre protecció de dades. Per tant, serà un valor afegit important i un garant que el DPD estigui certificat.
Per obtenir la certificació és obligatòria la realització d’un examen oficial, per justificar l’experiència prèvia o formació especialitzada en la matèria, segons l’Esquema de Certificació de Delegats de Protecció de Dades de l’AEPD i ENAC.
En l’equip de PymeLegal tenim alguns perfils certificats com Delegats de Protecció de Dades segons aquest Esquema de Certificació per oferir-vos un servei de màxima qualitat.
El DPD ha de ser intern o extern?
El Delegat de Protecció de Dades pot ser intern o extern, sempre que en els dos casos compleixi amb l’establert per la normativa aplicable.
Les funcions que haurà de realitzar són les mateixes, però cada modalitat presenta uns avantatges davant l’altre:
Avantatges Delegat Protecció de Dades INTERN
- Coneixement de l’estructura del negoci
- Proximitat i millor comunicació
- Millor planificació alineada amb l’estratègia d’empresa
Avantatges Delegat Protecció de Dades EXTERN
- Planificació i comitès de seguiment
- DPD especialitzat i certificat
- Solució a la falta de personal intern qualificat
- Sense possible conflicte d’interessos
- Coneixement de les millors pràctiques
- Regulat per contracte de prestació de serveis (garantia)
Si es nomena a una persona interna, s’haurà de tenir en compte que la seva funció no suposi un conflicte d’interessos, com seria el cas dels directrius o responsables d’informàtica, com ha indicat l’AEPD i altres Autoritats de Control en diferents informes.
Si s’opta per externalitzar el servei, que és la modalitat que tenim amb la majoria de clients que requereixen un DPD, s’haurà de regular mitjançant un contracte de serveis.
Des del nostre punt de vista, segons la mida de l’empresa, és molt millor externalitzar el servei per tenir plenes garanties de compliment i no haver de destinar recursos interns a aquesta figura sense els coneixements necessaris.
Quin cost té externalitzar el Delegat de Protecció de Dades?
Com és habitual en el sector de la consultoria ens podem trobar tota mena de preus per aquests serveis el que genera dubtes davant els clients que sol·liciten pressupost.
D’entrada, no ens fiem de les empreses que ens volen vendre el servei de DPD a la ‘primera de canvi’. Moltes d’elles, amb la política de la por, venen el DPD a qualsevol tipus de client quan potser no està obligat a tenir-ho.
També desconfiem dels ‘lowcost’. Segons quines tarifes són impossibles si darrere ha d’haver-hi un DPD certificat. En molts casos serà un advocat que haurà de dedicar un mínim d’hores mensual al projecte, fer seguiment i, sobretot, tenir responsabilitat sobre la matèria.
Des de PymeLegal analitzem prèviament la necessitat de disposar d’un DPD i després elaborem una proposta a mida que inclogui tots els requisits obligatoris per garantir al client el nivell de compliment exigit, amb una planificació a nivell de recursos i equips.
Si tens més dubtes sobre aquesta temàtica o vols analitzar el cas de la teva empresa per saber si estàs obligat a tenir un Delegat de Protecció de Dades, contacta amb el nostre equip i programarem una videotrucada per valorar les teves necessitats.
L’equip de PymeLegal