El Delegado en Protección de Datos
Los cambios en la normativa del Reglamento Europeo de Protección de Datos, que actualmente se encuentra en fase de aprobación, contempla entre otros, la figura de El Delegado en Protección de Datos (D.P.O. Data Protection Officer).
Se trata de una figura profesional, interna o externa, tanto para organismos públicos como empresas privadas que traten datos de más de 5.000 interesados en un periodo de doce meses. Se perfecciona así el texto original que hablaba de un Delgado en empresas con más de 250 trabajadores. Esta enmienda es más que acertada pues defiende la protección de datos en cualquier empresa, independientemente de su plantilla.
El Delegado debe ser una figura independiente con respecto a la dirección para que asegure el total cumplimiento y observancia de la Ley, por lo tanto puede ser trabajador en plantilla o no. Su jornada será a tiempo parcial o completa y estará protegido contra el despido. Su mandato deberá ser, como mínimo, de dos años y podrá ser nombrado para mandatos sucesivos. Solo podrá ser destituido si deja de cumplir las obligaciones requeridas para el ejercicio de sus funciones. Además, se le debe permitir su presencia en acciones formativas para mantener los conocimientos especializados necesarios para llevar a cabo sus deberes y funciones.
En cuanto a los requisitos profesionales que debe reunir el D.P.O., éstos se contienen en la enmienda 50; a destacar:
- Amplio conocimiento de la materia y de la aplicación de la normativa sobre protección de datos, incluidas las medidas y los procedimientos técnicos y organizativos.
- Dominio de los requisitos técnicos de la protección de datos de la privacidad desde el diseño, de la privacidad por defecto y de la seguridad de los datos.
- Conocimiento específico del sector, de acuerdo con el tamaño del responsable o encargado del tratamiento y de la sensibilidad de los datos a tratar.
- Capacidad para llevar a cabo inspecciones y consultas, elaborar una documentación, y proceder al análisis de ficheros.
- Capacidad para trabajar con los representantes de los trabajadores.
- Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas. En una muestra más de la independencia y responsabilidad que caracteriza el ejercicio de sus funciones, el D.P.O deberá generar y guardar toda la documentación relativa a su asesoramiento. Este material sería de trascendental importancia en caso de conflicto al intentar clarificar las responsabilidades sobre una actuación negligente en materia de privacidad.
- Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. Formación interna y auditorías, dos elementos claves en políticas de privacidad.
- Supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento
- Velar por la conservación de la documentación contemplada en el artículo 28. La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32. Será por tanto responsable de la comunicación tanto a las autoridades como a los directamente afectados.
- Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34. Estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.
- Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.
- Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia. Es por tanto intermediario en todas las comunicaciones entre responsable del fichero y las autoridades de control, manteniendo potestad de actuar a iniciativa propia.
- Advertencia escrita en el caso de un primer incumplimiento no deliberado.
- Auditorías periódicas de protección de datos.
- Multa de hasta 100 millones de euros, o el 5% de su volumen de negocio anual, teniéndose en cuenta, entre otros, los siguientes factores:
- La naturaleza, gravedad y duración de la infracción.
- La intencionalidad o negligencia en la infracción.
- El grado de responsabilidad de la persona física o jurídica y de las anteriores infracciones cometidas por dicha persona.
- El carácter repetitivo de la infracción.
- El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.