Primeres sancions per no disposar d’un Delegat de Protecció de Dades

Share on facebook
Share on linkedin
Share on twitter
Share on email

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat les primeres sancions per no tenir designat un Delegat de Protecció de Dades (DPD).

Qui necessita un Delegat de Protecció de Dades?

Segons el Reglament General de Protecció de Dades (RGPD) i la Llei orgànica 3/2018, del 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD) existeixen organitzacions que han de designar un DPD de manera obligatòria, com per exemple, en determinats casos:

  • Centres sanitaris
  • Operadors de joc en línia
  • Centres docents i universitats
  • Col·legis professionals i els seus consells generals
  • Federacions esportives (quan es tracti de menors)
  • Empreses de seguretat privada i asseguradores
  • Prestadors de la societat de la informació
  • Entitats amb activitats publicitàries
  • Establiments financers de crèdit
  • Empreses de serveis d’inversió
  • Entitats responsables de fitxers comuns

 

Requisits per a ser un DPD

 

  • Ha d’exercir les seves tasques i funcions amb total independència sense que es pugui donar lloc a cap conflicte d’interessos.
  • Ha de reunir coneixements especialitzats en Dret i la pràctica en materia de protecció de dades.
  • Ha de tenir accés als recursos necessaris per a l’acompliment de les seves funcions i especialment l’accés a les dades personals i a les operacions de tractament.
  • Ha de rendir comptes directament al més alt nivell jeràrquic.
  • Ha d’estar disponible i ser accessible per a comunicar-se amb els interessats i estar en condicions de cooperar amb les autoritats de control.

Tipus de DPD

  • DPD Intern: membre de la plantilla que pugui actuar amb independència.
  • DPD Extern: externalització dels serveis en el marc d’un contracte de prestació de serveis

Quines funcions té un DPD?

  • Informar i assessorar el responsable o a l’encarregat del tractament i als empleats que s’ocupin del tractament de les obligacions de la normativa aplicable en protecció de dades.
  • Supervisar el compliment de la normativa i polítiques de protecció de dades, inclosa la conscienciació i formació del personal que participa en operacions de tractament, i les auditories corresponents.
  • Oferir l’assessorament que se sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació.
  • Comunicar-se eficaçment amb els interessats del tractament i cooperar amb les autoritats de control.
  • Actuar com a punt de contacte amb l’AEPD per a realitzar consultes relatives al tractament.

Per a aquells casos en els quals no sigui necessari designar un DPD:

  • Les entitats poden fer-ho amb caràcter voluntari per a demostrar una responsabilitat proactiva.
  • És recomanable documentar una anàlisi de necessitat de DPD a fi de poder demostrar que s’han tingut en compte degudament els factors pertinents.
  • Serà igualment recomanable disposar de personal qualificat o assessors externs que puguin garantir el compliment de la seguretat de la informació i el compliment normatiu, que pot ser agrupat en forma de Comitè de Seguretat designat per la direcció general de l’organització.