El próximo 25 de mayo entrará en vigor el Reglamento (UE) 2016/679 de Protección de Datos (RGPD-GDPR) y, aún hoy en día, hay aspectos que generan dudas a las empresas acerca de la nueva figura del ‘delegado de protección de datos (DPD)’ o ‘data protection officer (DPO)’ y de las medidas de seguridad aplicables.
¿Qué medidas de seguridad debo aplicar?
Con el anterior reglamento de desarrollo, las medidas se establecían en función de la tipología de datos tratados y se detallaban medidas especificas más restrictivas cuanto más sensible fuera el dato (nivel básico, medio y alto).
El RGPD no detalla de forma exhaustiva las medidas y establece que los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en un análisis previo.
Se mencionan medidas como la seudonimización y cifrado de datos personales, y se deberá tener en cuenta que estas medidas se aplicarán teniendo en cuenta el coste de la técnica y de aplicación, los fines de tratamiento y los riesgos para los derechos y libertades.
Un factor importante a tener en cuenta es que la empresa debe estar en condiciones de demostrar la aplicación de dichas medidas, principio de responsabilidad activa.
Análisis de riesgos y Evaluaciones de Impacto
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen para poder establecer qué medidas deben aplicar, y cómo hacerlo. Las grandes organizaciones podrán optar por llevar a cabo alguna de las metodologías de análisis de riesgo existentes y las empresas más pequeñas podrán hacerlo analizando de forma documentada las implicaciones de los tratamientos de datos personales en lo que hace referencia a los derechos y libertades de los interesados.
Si el responsable gestiona datos sensibles a gran escala, elabora perfiles de usuarios, utiliza técnicas de big data o hace una observación sistemática a gran escala de una zona de accesos público, entre otros supuestos, tendrá que poner en marcha medidas como las evaluaciones de impacto (EIPD).
El RGPD establece un contenido mínimo de las EIPD aunque no contempla ninguna metodología especifica para su realización. Recientemente, la AEPD ha publicado dos guías eminentemente prácticas sobre el análisis de riesgos y las evaluaciones de impacto en los tratamientos de datos personales sujetos al RGPD que serán de gran utilidad para los responsables y encargados.
¿Necesito un delegado de protección de datos?
La proliferación de ofertas de cursos para certificarse como DPO está produciendo cierta confusión entre las empresas, y es que, aunque los responsables podrán decidir en cada caso si quieren incorporar un DPO, sólo hay unos supuestos concretos en que esta figura será obligatoria. Según el articulo 37 del RGPD son los siguientes:
- Autoridades u organismos públicos.
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
A estos supuestos, el anteproyecto de Ley Orgánica de Protección de Datos (‘nueva LOPD') amplia la previsión de contar con esta figura a entidades como colegios profesionales, escuelas, entidades aseguradoras, comercializadores de energía eléctrica, centros sanitarios y empresas de seguridad privada, entre otras.
El DPO y sus funciones
- Un grupo empresarial podrá nombrar un único delegado de protección de datos.
- El delegado será nombrado en base a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
- El delegado podrá formar parte de la plantilla del responsable o desempeñar sus funciones en el marco de un contrato de servicios.
- Informará y asesorará al responsable y a los empleados que se ocupan del tratamiento de las obligaciones que les afectan.
- Supervisará el cumplimiento de los dispuesto en el RGPD y otras disposiciones y rendirá cuentas a la dirección.
- Cooperará y actuará como punto de contacto entre la empresa y la autoridad de control.
Certificación como DPO
Aunque para ejercer de DPO no será obligatorio estar certificado y se podrá ejercer acreditando experiencia en este ámbito, la AEPD ha establecido un sistema de certificación de profesionales con el apoyo de ENAC para certificar mediante un sistema de pruebas de acceso a los profesionales en esta materia. Esta certificación será un aspecto más que podrán tener en cuenta responsables y encargados para facilitar la selección de profesionales llamados a ocupar el puesto de DPO.
Empresa