Posició de CEDPO sobre el DPO al GDPR


Francisco Canalda     21/02/2017


 

Document consensuat pels membres de CEDPO en resposta a la guia sobre el DPO publicada al desembre de 2016



Qui és CEPDO?
 

CEDPO és una organització europea de protecció de dades que té com a objectiu promoure el paper del Delegat de Protecció de Dades (DPO), per proporcionar assessorament sobre l'equilibri, una protecció de les dades efectiva i eficaç i contribuir a una millor harmonització de la legislació de protecció de dades i pràctiques a la UE/EEE.

CEDPO va ser fundada al setembre de 2011 per les organitzacions europees de protecció de dades, és a dir, AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) de França, APEP (Asociación Profesional Española de Privacidad) d'Espanya, GDD (Gesellschaft für Datenschutz und Datensicherheit) d'Alemanya, i NGFG (Nederlands Genootschaap van Functionarissen voor de Gegevensbescherming) dels Països Baixos. La Confederació es va unir immediatament a ADPO (Asociación de Oficiales de Protección de Datos) de Irlanda, ARGE DATEN de Austria y SABI (Stowarzyszenie Administrador-Bezpiecze?stwa Informacji) de Polònia.


 

Traducció no oficial de la guia CEDPO sobre el DPO

 


Posició de CEDPO sobre el DPO al GDPR
15 febrer 2017
 
1. Criteris de nomenament
 
  • Les "activitats bàsiques" han de ser interpretades d'acord amb la descripció de la tasca corporativa de l'organització i els ingressos del compte de resultats.
  • "Gran escala" s'ha d'entendre segons un enfocament basat en el risc (en lloc d'utilitzar criteris com el nombre d'empleats o el "volum" de dades personals tractades en un determinat període de temps).
  • "Seguiment de la conducta" exclourà les activitats de monitorització de TI que qualsevol organització ha de realitzar en l'actualitat per als caps de:
    • ciberseguretat;
    • protecció dels sistemes i actius de l'organització (incloses la IP i la informació confidencial, així com les dades personals emmagatzemades o tractats per l'organització); i
    • complir amb les lleis i l'orientació reglamentària (per exemple, deures de protecció de dades, activitats antifrau i de lluita contra el blanqueig de capitals).


2. Formació professional
 
  • Vistes les tasques que es confien a DPO, es requereixen diferents habilitats, incloses les capacitats legals, tècniques, de programa i gestió de riscos i comunicació. El DPO ha de assegurar-se que les seves funcions són en realitat realitzades per ell mateix i/o pel seu equip format per professionals de diferents orígens, incloent però no limitat a individus que posseeixen una llicenciatura en lleis o ciències de la computació. L'organització que nomena un DPO ha de proporcionar al DPO recursos amb aquests diferents orígens.
  • El GDPR exigeix ??que "el DPO sigui designat sobre la base... del coneixement expert de la llei de protecció de dades...". La funció DPO ha d'estar oberta a qualsevol persona, sigui quina sigui la seva formació professional o curricular, i que aquest requisit pugui ser satisfet fins i tot per professionals que no tenen un títol d'advocat. El text no s'ha d'interpretar de manera restrictiva; ja que en cas contrari, el risc és que els responsables i encarregats del tractament considerin la contractació d'advocats com DPO.


3. DPO intern/extern
 
  • La mida i les activitats de cada organització, així com el seu estat privat/públic, determinarien si un DPO intern o extern és la decisió apropiada de tant en tant.
  • Hi ha casos en els que podria tenir sentit compartir el mateix DPO extern, com les petites organitzacions i organitzacions que s'ocupen d'activitats similars de tractament de dades.
  • Els DPO externs poden incloure entitats legals encara que l'organització client pugui esperar certa estabilitat, en la mesura que sigui compatible amb les lleis locals, en relació amb la persona real que assumeix en última instància les tasques de DPO subcontractats.
  • L'elecció entre un DPO intern o extern no estarà influenciada per la protecció de l'ocupació dels DPO interns.


4. Independència i conflicte d'interessos
 
  • De nou, la mida i les activitats de cada organització han de determinar l'estructura del DPO més adequada. Tant si la solució escollida és un DPO intern, però a temps parcial, com un DPO extern, caldria establir salvaguardes específiques per detectar i avançar solucions alternatives si sorgeix un conflicte d'interessos.
  • La independència del DPO no s'ha d'interpretar per convertir el DPO en un:
    • "Mini-DPA";
    • l'organització del CEO; o
    • el representant dels interessats.
  • La independència del DPO serà garantida amb un DPO amb integritat i lleialtat. De la mateixa manera, la seva relació amb l'organització ha de ser confiada a la "potestas" apropiada (que requereix una posició apropiada patrocinada pels òrgans de decisió de l'organització, línia d'informació funcional i recursos). El DPO ha de tenir una línia d'informe directe a la Junta o a un membre de la Junta - o organisme equivalent - de l'organització pel que fa a les seves responsabilitats de DPO.
  • Les obligacions de confidencialitat del DPO amb l'organització que el va nomenar han de ser aclarides per assegurar que:
    • la lleialtat del DPO al seu cap (si és intern) o al seu client (si és extern) no es veu compromesa; i
    • es manté la seva adequada integració amb l'organització com un "conseller de confiança".
  • Els riscos de conflicte d'interessos es poden veure al posicionar el DPO en els departaments de Seguretat, TI, RRHH o altres departaments que prenen decisions sobre les activitats de tractament.


5. Posició
 
  • L'Art. 38 (3) estipula que el DPO informarà directament al nivell més alt de gestió del responsable o encarregat del tractament. Aquesta demanda reforça l'autonomia i la importància dels DPOs i requereix que l'organització del responsable o encarregat vinculi els DPO al nivell més alt de gestió (com a la Junta o a un membre del Consell). Per exemple, l'estructura organitzativa ha de garantir que:
    • El DPO té accés directe i sense filtre a l'alta direcció i no hi ha un nivell intermedi entre el DPO i l'alta direcció. Això ajuda a garantir que els DPO no tinguin cap conflicte d'interessos pel que fa a la seva funció com a DPO i, per tant, gaudeixen de suficient protecció en l'exercici de les seves tasques.
    • El respectiu Consell o membre de la Junta actua com a supervisor funcional i administratiu del DPO amb responsabilitats sobre totes les qüestions de personal i pressupost del DPO.
    • Es pot identificar clarament la línia d'informe del DPO a l'alta direcció (per exemple, en un organigrama).


6. Ubicació
 
  • La ubicació física específica dels DPOs del grup o DPOs d'una mateixa organització amb diversos establiments sembla ser irrellevant avui dia. La seva accessibilitat, una participació empresarial apropiada i una bona "xarxa" local (per exemple, els enllaços locals de privacitat), serien els elements clau a tenir en compte per assegurar una protecció efectiva.
  • L'accessibilitat del DPO no depèn necessàriament únicament de les seves pròpies habilitats, sinó de la combinació de les seves habilitats i les de la seva "xarxa" local, per exemple, les relacions locals de privacitat per garantir el coneixement jurídic i lingüístic local adequat quan cal. El WP29 recomana que, per tal de garantir l'accessibilitat, "la comunicació tingui lloc en la llengua o llengües de les autoritats de supervisió i dels interessats". Aquesta recomanació pot plantejar problemes pràctics si no es precisa més. El GDPR no pot esperar que qualsevol DPO del Grup expressi les 24 llengües de la UE de cada establiment de la UE del seu grup. Per tant, suggerim afegir que no es requereix que el propi DPO parli les llengües de tots els països on el responsable/encarregat del tractament està establert però que a la pràctica aquesta necessitat pot ser satisfeta mitjançant traduccions de documents/mitjans o recórrer a contactes locals que ajuden al DPO. El GDPR és un altre exemple de com es construeix el mercat interior de la UE i no hauria d'imposar cap restricció a la llibertat de circulació dels professionals i serveis dels DPO dins de la UE. El requisit de l'idioma(es) no ha de ser un obstacle per a la construcció de la UE.


7. Responsabilitat
 
  • El DPO no hauria de tenir una responsabilitat individual per un tractament sota el GDPR: l'organització és la responsable de qualsevol incompliment. L'organització pot decidir prendre accions, d'acord amb la llei local, contra un DPO negligent, com passaria amb qualsevol altre empleat o contractista que pugui ser responsable en última instància dels danys que l'organització ha patit (per exemple, multes administratives, prohibicions de tractament, etc.).


8. Tasques
 
  • Registre de les activitats del tractament. El DPO assessora sobre l'estructura del registre requerit de les activitats del tractament, així com sobre les regles de manteniment de registres. A continuació, el DPO verifica de tant en tant la integritat i exactitud del registre (deure de supervisió) i dóna instruccions al responsable del tractament i respectivament a diversos departaments per corregir el que és incorrecte.
  • El GDPR disposa que l'expedient haurà de ser complimentat pel responsable del tractament o pel seu representant (article 30). El DPO pot llavors ser l'encarregat per mantenir el registre com a representant del responsable. Això no és un cas de conflicte d'interessos.
  • DPIA: Les avaluacions d'impacte són dutes a terme pel responsable del tractament. El DPO aconsella al responsable del tractament de l'obligació o oportunitat de dur a terme un DPIA. A continuació, el DPO proporciona la seva opinió sobre la pertinència de l'anàlisi de riscos realitzat. Una vegada que s'han mitigat els riscos, el DPO emet un dictamen sobre les mesures de mitigació per analitzar la possibilitat de mitigar els riscos potencials restants.
  • Una de les tasques del DPO que es podria agregar com a recomanació i que és una bona pràctica de rendició de comptes és l'elaboració d'un informe anual proporcionat al més alt nivell de gestió.


9. Formació
 
  • Els DPO han de tenir l'oportunitat de mantenir-se actualitzats pel que fa als desenvolupaments relacionats amb la protecció de dades en el sentit més ampli del terme, incloent actualitzacions de reglaments, noves tecnologies, assumptes internacionals, tècniques d'auditoria... El nivell d'experiència dels DPO s'ha d'incrementar constantment participant en cursos de formació sobre protecció de dades i altres formes de desenvolupament professional, com la participació en fòrums de privacitat, tallers, etc. El WP29 hauria de deixar clar que aquest tipus de desenvolupament professional continu per part dels DPO és en realitat un requisit implícit obligatori de conformitat amb l'Art. 37 (5) i Art. 38 (2). A més, per complir amb l'esperit de l'Art. 5 (2) per a la rendició de comptes, els DPO han de poder demostrar l'evidència del seu desenvolupament professional continu.


10. Publicació de les dades de contacte del DPO
 
  • Les organitzacions han de poder proporcionar dades de contacte genèrics com dpo@company.com. L'organització ha de poder decidir el nivell d'informació que s'ha de proporcionar per assegurar una comunicació fluïda amb les parts interessades externes (incloent però no limitat als interessats) i el respecte a la privacitat del DPO.
  • Podem suggerir el següent text: "L'article 37 (7) no exigeix que les dades de contacte publicades incloguin el nom del DPO. Correspon al responsable i al DPO decidir si això és necessari o útil en les circumstàncies particulars".


 

Enllaços relacionats sobre DPO