GDPR 17. El Delegat de Protecció de dades


Josep Aragonés Salvat     15/09/2016

El Delegat de Protecció de Dades (DPO)


El Reglament dedica tota la Secció 4 del Capítol IV al Delegat de Protecció de Dades especificant les seves comeses, funcions i l'obligatorietat per a designar-los (articles 37 a 39).

El DPO és la persona encarregada d'informar i assessorar el Responsable o Encarregat del tractament i al personal autoritzat per al tractament, de les obligacions que els afecten en virtut del Reglament (GDPR) i de qualsevol altra disposició legislativa de protecció de dades vigent a la UE o als Estats membres de la UE.

Per complir aquesta comesa, el DPO s'encarregarà de supervisar:
 
  • La implementació i aplicació de les polítiques de protecció de dades.
  • L'assignació de responsabilitats, conscienciació i formació del personal autoritzat.
  • La realització de l'avaluació d'impacte.
  • Les auditories realitzades.

Qualsevol Responsable o Encarregat del tractament o associació o organisme que els representi, podran designar un DPO i autoritzar-lo per actuar pel seu compte.

Es podrà nomenar un únic DPO per diversos Responsables o Encarregats del tractament quan es designi per representar:
  • Un grup d'empreses, sempre que sigui accessible des de cada un dels establiments del grup.
  • Diverses entitats d'un mateix organisme públic, sempre que es tingui en compte la seva estructura organitzativa i la seva grandària.

El DPO actuarà com a punt de contacte o de consulta amb l'Autoritat de control i haurà de cooperar amb ella.

 

Qui pot ser DPO?


Un DPO pot ser qualsevol persona que pertanyi a la plantilla del Responsable o de l'Encarregat del tractament o, si és extern, en el marc d'un contracte de serveis. El DPO serà designat atenent a:
  • Qualitats professionals.
  • Coneixements especialitzats en protecció de dades.
  • Capacitat per executar les comeses que li confereix el Reglament.

El Responsable o Encarregat del tractament hauran de publicar les dades de contacte del DPO i comunicar-les a l'Autoritat de control.

 

Funcions del DPO


El Delegat de Protecció de Dades:
 
  • Exercirà les seues comeses prestant la deguda atenció als riscos en la protecció de dades, tenint en compte la naturalesa, abast, context i fins del tractament.
  • Estarà obligat a mantenir el secret o la confidencialitat de les seves comeses.
  • Podrà exercir altres tasques i funcions alienes a la seva relació amb el Responsable o l'Encarregat del tractament, sempre que no hi hagi un conflicte d'interessos amb els mateixos.
  • Podrà informar directament al més alt nivell de direcció del Responsable o de l'Encarregat del tractament.

Els Responsables o Encarregats del tractament han de:
 
  • Recolzar al DPO perquè pugui complir les seves comeses.
  • Facilitar-li els recursos necessaris per exercir les seves funcions i mantenir els seus coneixements especialitzats.
  • Vetllar perquè el DPO no rebi cap instrucció pel que fa a l'exercici de les seves comeses i no podran destituir ni sancionar-lo per realitzar-los.

Els interessats:
 
  • Podran contactar amb el DPO per tractar els assumptes que els afectin relatius al tractament de les seves dades i l'exercici dels drets que els confereix el Reglament.
 

Quan hi ha l'obligació de designar un DPO?


El Responsable o Encarregat del tractament estan obligats a designar un DPO quan la seva activitat principal contempli tractaments a gran escala de:
 
  • Observació habitual i sistemàtica d'interessats: Quan es realitza un seguiment freqüent i repetitiu de persones mitjançant un mètode d'organització, classificació o ordenació de les seves dades.
    • Per exemple: Banca, Asseguradores, Empreses de vigilància que tractin dades directament com ET, Empreses dedicades a l'elaboració de perfils (ETT, Màrqueting directa, Apps, etc.), Mitjans de comunicació, etc.
  • Categories especials de dades: Dades relatives a l'origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètrics que permetin la identificació unívoca d'una persona, dades relatives a la salut o la vida i orientació sexuals.
    • Per exemple: Partits polítics, Iglesias, Sindicats, Investigació genètica o biomètrica, Hospitals, Centres mèdics, mútues, Assistència social, etc.
  • Dades relatives a condemnes i infraccions penals: Dades relatives a condemnes i infraccions penals o mesures de seguretat afins, dutes a terme sota la supervisió d'autoritats públiques.
    • Per exemple: Gabinets jurídics, etc.

També hi ha l'obligació de designar un DPO quan el tractament el realitzi una Autoritat o Organisme públic, excepte els tribunals que actuen en l'exercici de la seva funció judicial.

 

Quan una activitat principal contempla tractaments a gran escala?


Vista l'obligació que s'estableix al Reglament per designar un DPO, aquesta figura només serà necessària en empreses que realitzin tractaments de dades personals a gran escala en la seva activitat principal. La majoria d'empreses no realitzen aquest tipus de tractament, pel que podran prescindir del DPO. Per assegurar-nos d'això, anem a veure el significat d'aquests conceptes en els Considerants 91 (tractaments a gran escala) i 97 (activitat principal) del GDPR.
  • Tractaments a gran escala: Operacions de tractament que persegueixen tractar una quantitat considerable de dades personals que afecten un gran nombre de ciutadans amb la probabilitat d'existir un alt risc per als drets i llibertats dels mateixos.
  • Activitat principal de l'Responsable o Encarregat del tractament: Al que es dedica l'empresa, la seva activitat econòmica. Per exemple, en una fàbrica de mitjons l'activitat principal és la seva fabricació i venda; en una empresa de treball temporal (ETT) la seva activitat principal és elaborar perfils de persones per proporcionar-los un ocupació. És molt important discernir si l'activitat principal es basa, o no, en el tractament de dades personals.
 

Què diu el GDPR


Considerant 91:
L'anterior s'ha d'aplicar, en particular, a les operacions de tractament a gran escala que persegueixen tractar una quantitat considerable de dades personals a nivell regional, nacional o supranacional i que podrien afectar un gran nombre d'interessats i comportin probablement un alt risc, per exemple, per la seva sensibilitat, quan, en funció del nivell de coneixements tècnics assolit, s'hagi utilitzat una nova tecnologia a gran escala ia altres operacions de tractament que comporten un alt risc per als drets i llibertats dels interessats, en particular quan aquestes operacions fa més difícil per als interessats l'exercici de les seves 2016.05.04 ÉS Diari Oficial de la Unió Europea l 119/17 drets. L'avaluació d'impacte relativa a la protecció de dades ha de realitzar-se també en els casos en què es tracten dades personals per adoptar decisions relatives a persones físiques concretes arran d'una avaluació sistemàtica i exhaustiva d'aspectes personals propis de persones físiques, basada en la elaboració de perfils d'aquestes dades o arran del tractament de categories especials de dades personals, dades biomètriques o dades sobre condemnes i infraccions penals o mesures de seguretat connexes. També és necessària una avaluació d'impacte relativa a la protecció de dades per al control de zones d'accés públic a gran escala, en particular quan s'utilitzin dispositius optoelectrònics o per qualsevol altre tipus d'operació quan l'autoritat de control competent consideri que el tractament comporti probablement un alt risc per als drets i llibertats dels interessats, en particular perquè impedeixi als interessats exercir un dret o utilitzar un servei o executar un contracte, o perquè s'efectuï sistemàticament a gran escala. El tractament de dades personals no ha de considerar-se a gran escala si ho fa, respecte de dades personals de pacients o clients, un sol metge, un altre professional de la salut o advocat. En aquests casos, l'avaluació d'impacte de la protecció de dades no ha de ser obligatòria.

Considerant 97:
Al supervisar l'observança interna del present Reglament, el responsable o l'encarregat del tractament ha de comptar amb l'ajuda d'una persona amb coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades si el tractament el realitza una autoritat pública, a exepció dels tribunals o altres autoritats judicials independents en l'exercici de la seva funció judicial, si el tractament el realitza en el sector privat un responsable en que les activitats principals consisteixen en operacions de tractament a gran escala que requereixen un seguiment habitual i sistemàtic dels interessats, o si les activitats principals del responsable o de l'encarregat consisteixen en el tractament a gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals. En el sector privat, les activitats principals d'un responsable estan relacionades amb les seves activitats primàries i no estan relacionades amb el tractament de dades personals L 119/18 ÉS Diari Oficial de la Unió Europea 2016.04.05 com activitats auxiliars. El nivell de coneixements especialitzats necessari s'ha de determinar, en particular, en funció de les operacions de tractament de dades que es duguin a terme i de la protecció exigida per a les dades personals tractades pel responsable o l'encarregat. Tals delegats de protecció de dades, siguin o no empleats del responsable del tractament, han d'estar en condicions d'exercir les seves funcions i comeses de manera independent.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 16. L'elaboració de perfils     Tema següent: 18. Garanties de compliment



Informació relacionada