Coneixes que és un DPD? Saps si hauries de tenir un DPD en la teva empresa?
Aquesta figura, coneguda popularment com DPD o DPO (per les seves sigles en anglès, Data Protection Officer), constitueix un dels elements claus del RGPD: és el garant del compliment de la normativa de la protecció de dades en les organitzacions.
Resoldrem les consultes que més ens han fet els nostres clients:
1. Què és un DPD?
El Delegat de Protecció de dades és qui, entre altres funcions, ha de supervisar el compliment de la normativa en matèria de protecció de dades personals i, en el seu cas, gestionar les consultes de les persones que es posin en contacte amb el mateix en relació amb el tractament de les seves dades personals.
Al Delegat de Protecció de Dades, que haurà de comptar amb coneixements especialitzats en dret sobre protecció de dades i actuar de manera independent dins de les entitats on actua, se li atribueixen una sèrie de funcions regulades tant en el RGPD (art. 39) com en la pròpia LOPDGDD (art. 34).
2. Quines són les seves funcions?
Entre les seves funcions us detallem les més importants:
- Informar i assessorar el responsable o encarregat de tractament i als empleats que s’ocupin del tractament sobre les seves obligacions en matèria de protecció de dades, així com assessorament respecte a la realització de l’avaluació d’impacte.
- Supervisar el compliment del que es disposa en el RGPD i altra normativa sobre protecció de dades.
- Realització d’auditories de control.
- Cooperar amb l’autoritat de control i ésser el punt de contacte entre aquesta i l’entitat.
- Proporcionar suport en la gestió de les bretxes de seguretat.
- Atendre els interessats que es posin en contacte amb el DPD.
Encara que la certificació no és obligatòria, el nomenament del DPD sempre haurà de realitzar-se tenint en compte les seves qualitats professionals i coneixements en normativa sobre protecció de dades, associada a l’acompliment de les seves funcions.
Per obtenir la certificació com a DPD és obligatòria la realització d’un examen oficial, justificar l’experiència prèvia o formació especialitzada en la matèria, segons l’Esquema de Certificació de Delegats de Protecció de Dades de l’AEPD i ENAC.
En l’equip de Pymelegal comptem amb Delegats de Protecció de Dades certificats segons l’est Esquema de Certificació per a oferir-vos un millor servei de màxima qualitat.
3. Estic obligat a tenir un DPD?
El Reglament Europeu estableix els casos en què és obligatòria aquesta figura, ja que no en totes les situacions en què es tractin dades és necessari. Tant el propi RGPD com nostra LOPDGDD defineixen els supòsits en els quals tenim l’obligació de designar, i són els següents:
- El tractament de les dades els dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
- Les activitats principals del responsable o de l’encarregat consisteixin en operacions que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
- L’activitat principal del responsable o de l’encarregat consisteixi en el tractament a gran escala de categories especials de dades o de dades personals relatives a condemnes i infraccions penals, com:
-
- Origen ètnic o racial.
- Opinions polítiques, conviccions religioses o filosòfiques.
- L’afiliació sindical.
- El tractament de dades genètiques o dades biomètriques dirigides a identificar a una persona física.
- Dades relatives a la salut o dades relatives a la vida o l’orientació sexuals d’una persona física.
- Condemnes i infraccions penals o mesures de seguretat connexes.
Així mateix, i en compliment del propi RGPD, la LOPDGDD amplia aquests supòsits i afegeix, com obligats al nomenament d’aquesta figura, entre altres a:
– els col·legis professionals i els seus consells generals,
– els centres escolars reglats i universitats, tant públiques com privades,
– les entitats que exploten xarxes i presten serveis de comunicacions electròniques,
– les entitats i establiments financers de crèdit,
– les entitats asseguradores i reasseguradores,
– les entitats responsables de fitxers que avaluen la solvència patrimonial i crèdit,
Per a saber en quins casos és obligatori comptar amb aquesta figura, podeu consultar-ho en el següent article.
Si l’activitat de l’entitat no s’enquadra en cap d’aquests supòsits, aquesta organització pot, de manera proactiva (i complint així el principi de Accountability o Responsabilitat Proactiva que marca el RGPD), nomenar un delegat de protecció de dades voluntàriament, i assegurar-se que la seva política de protecció de dades és adequada i compleix amb la normativa legal vigent.
En cas d’estar obligat a tenir un DPD i no complir amb aquesta obligació, pot comportar importants sancions.
El nomenament d’un Delegat de Protecció de Dades sempre ha de comunicar-se a l’AEPD.
4. El DPD pot ser intern o ha de ser extern?
El Delegat de Protecció de Dades pot ser intern o extern, sempre que en tots dos casos, compleixi amb el que s’estableix per la normativa aplicable. Les funcions que haurà de realitzar són les mateixes, però cada modalitat presenta uns avantatges enfront de l’altra, que es resumeixen en la imatge que apareix a continuació:
Si es nomena una persona interna com DPD, s’haurà de tenir en compte, a més de la formació requerida, que la seva funció no suposi un conflicte d’interessos, com seria el cas dels directius o responsables informàtics.
Si s’opta per delegar en una empresa externa haurà de regular-se mitjançant contracte de serveis. Aquest extern pot ser una persona física o una entitat externa. Està sol ser la modalitat de contractació més recomanada.
5. Què és un DPD compartit?
Un DPD compartit, és aquell que actua com a tal per a diversos responsables. El RGPD permet un únic DPD per a un grup empresarial sempre que aquest sigui fàcilment accessible per a tots.
En la imatge que apareix a continuació podreu veure els avantatges que suposa aquesta figura:
Desde PymeLegal s’ofereix el servei integral de DPD. Si teniu qualsevol dubte o consulta relacionada amb aquesta figura, el nostre equip queda a la vostra disposició per a ajudar-vos a solucionar-les.
L’Equip de PymeLegal