En mi artículo anterior "Implicaciones para el
Responsable de Seguridad de la Reforma de Protección de datos Europea", empezamos a profundizar en las implicaciones para los
Responsables de Seguridad, del
nuevo Reglamento General de Protección de Datos europeo (
RGPD). Actualmente, el Grupo de Trabajo del Artículo 29 (
GT29), ha publicado 3
Guías y Preguntas frecuentes relativas al
Derecho a la Portabilidad de los datos, al
Delegado de Protección de Datos (DPD -figura que sustituirá al actual
Responsable de Seguridad-) y a la
Autoridad de Control Principal. Estos documentos, pretenden ayudar en la implementación del
RGPD, clarificando conceptos no definidos en este y exponiendo algunos ejemplos. En este artículo, nos centraremos en el proceso de designación del DPD incluido en la
Guía y
Preguntas frecuentes sobre el DPD.
Designación obligatoria
El
Artículo 37(1) del RGPD, establece los casos en los que las organizaciones deberán designar obligatoriamente un
DPD. En este sentido, el
GT29 recomienda que las organizaciones documenten el análisis que lleven a cabo, para respaldar sus conclusiones y poder demostrar que han tenido en cuenta los factores principales que determinan dicha obligación.
Uno de los factores, es que la organización se trate de una autoridad u organismo público (37(1)(a)). La Guía aclara, que en este concepto también quedarían incluidas personas físicas o jurídicas de derecho público o privado, como son los servicios de transporte público o de suministro de agua y energía.
Respecto a la definición de las actividades principales de la organización (37(1)(b)), de acuerdo con el considerando 97 del
RGPD, se consideran aquellas actividades primarias directamente vinculadas al tratamiento de datos personales (
ej. la asistencia sanitaria de un hospital, basada en el tratamiento de datos de salud), excluyendo aquellas actividades consideradas auxiliares (
ej. pago de nóminas de trabajadores).
Otro factor es que el tratamiento se realice a gran escala (37(1)(b) y (c)). Para determinarlo, en la línea del considerando 91, el GT29 recomienda tener en cuenta a su vez, factores como: el número de interesados afectados, el volumen de los datos, el tiempo del tratamiento y la retención de los datos, y su alcance geográfico.
En cuanto a los tratamientos que requieran una observación (monitorización) habitual y sistemática (37(1)(b)), de acuerdo al considerando 24 relativo a la observación del comportamiento de los interesados, quedan incluidas claramente todas las formas de seguimiento y elaboración de perfiles en Internet (
ej. publicidad personalizada). Sin embargo, dicha observación no se encuentra restringida únicamente a los entornos y seguimientos online. El
GT29 interpreta como "habituales" las observaciones recurrentes, periódicas o que se lleven a cabo en todo momento. Y como "sistemáticas" (automatizadas o no) las basadas en sistemas, organizadas o metódicas, que se lleven a cabo como parte de un plan de recopilación de datos o formen parte de una estrategia.
Experiencia y habilidades del delegado
De acuerdo al Artículo 37(5) y al considerando 97, la experiencia y habilidades son función de los siguientes elementos:
- Nivel de conocimientos: El delegado debe de tener un nivel de conocimientos proporcional a la sensibilidad, la complejidad y la cantidad de datos que procesa la organización.
- Cualidades profesionales: El delegado debe tener conocimientos especializados en las leyes y las prácticas de protección de datos, nacionales y europeas, así como un conocimiento profundo del RGPD. Además, debe tener conocimientos suficientes acerca de los tratamientos, los sistemas de información, y las necesidades de seguridad y protección de datos de la organización.
- Capacidad para desempeñar sus funciones: En este contexto, la capacidad es interpretada como la conjunción de cualidades personales y conocimientos. Una vez tratados los conocimientos, dentro de las cualidades personales, deben encontrarse la integridad y la ética profesionales: la principal preocupación del delegado debe ser el cumplimiento del RGPD.
- Delegado mediante un contrato de servicios: Aspecto a tener en cuenta en aquellos casos en que medie un contrato de servicios, ya sea con un individuo o una organización externa. En este último caso, es importante que los miembros de la organización que actúen como DPD, cumplan los requisitos relevantes de la Sección 4 del RGPD, en especial en lo que se refiere al conflicto de intereses.
Los aspectos tratados en este artículo, forman parte de las primeras Guías publicadas por el
GT29 para la implementación del
RGPD. De acuerdo con la
nota de prensa de la publicación, y el anuncio del
Plan de acción del 2016, durante este año 2017 verán la luz las
Guías sobre la Evaluación del Impacto en la Protección de Datos y la Certificación. Como se puede observar, ya está en marcha la cuenta atrás para el cumplimiento del
RGPD, recomendamos a todas las organizaciones afectadas que no lo dejen todo para el final y poco a poco vayan trabajando en ello.
Referencias:
- http://blog.isecauditors.com/2016/06/implicaciones-para-el-responsable-de-seguridad-reforma-proteccion-datos-europea.html
- http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 (sección "Plenary meetings")
- http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf
- http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf
- http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SPA&toc=OJ:L:2016:119:TOC
- http://ec.europa.eu/newsroom/document.cfm?doc_id=40853
- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf
Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
Departamento de Consultoría.