Agencia PS Badajoz Ruta de la Plata
Líderes en
"Soluciones para el Cumplimiento"

Actualidad

 
¿Necesita un Delegado de protección de datos estar Formado y Certificado?
06 de Noviembre

A principios de 2016 ya anunciábamos en nuestra web la publicación de un REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS, en concreto en el post Nuevo Reglamento y anunciábamos como pieza clave la NUEVA figura (en España) del delegado de protección de datos o también conocido como Data Protection Officer.

¿Qué establecía el RGPD en mayo 2016? 

Según el artículo 37 el responsable y el encargado del tratamiento designarán un DPO siempre que:

El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

EJ: Biblioteca municipal, Ayuntamiento Local, Museo provincial, etc.

 

Las actividades principales  consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; *

EJ: Empresa de seguridad en un centro comercial.

 

Las actividades principales  consistan en el tratamiento a gran escala de categorías especiales de datos personales.  * (Incluidos datos relativos a condenas e infracciones penales).

                               EJ: Hospital, Centro de salud, etc.

Como bien sabéis dicho reglamento NO especifica qué es un tratamiento a gran escala pero podemos acudir al documento DIRECTRICES DPD para deducirlo. Este documento se redactó por el GRUPO DE TRABAJO DEL ART. 29.

No es posible dar una cifra exacta, relacionada a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse al contexto de todos los RESPONSABLES DE TRATAMIENTO.

FACTORES para determinar si el tratamiento se realiza a gran escala:

Nº de interesados afectados

Volumen de datos

Duración o permanencia del tratamiento

Alcance geográfico del tratamiento.

Tampoco especifica en sus artículos qué es la ACTIVIDAD PRINCIPAL de tratamiento, pero para ello acudimos al CONSIDERANDO 97.

Especifica que las actividades principales de un responsable están relacionadas con «sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares».

Un grupo empresarial podrá nombrar una única persona como DPO siempre que sea fácilmente accesible desde cada establecimiento.

Cuando el responsable o el encargado del tratamiento sean una autoridad u organismo público, se podrá designar una única persona como DPO para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

Sin embargo, en el caso de ESPAÑA, según la LOPD - GDD, designarán DPD las siguientes organizaciones:

Los colegios profesionales y sus consejos generales.

Los centros docentes que ofrezcan enseñanzas en cualquier nivel establecido en la legislación reguladora del Dº a la educación y Universidades públicas - privadas.

Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.

Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

Las entidades de ordenación, supervisión y solvencia de entidades de crédito.

Entidades de crédito:

Bancos.

Cajas de ahorros.

Cooperativas de crédito.

Instituto de Crédito Oficial.

Los establecimientos financieros de crédito.

Las entidades aseguradoras y reaseguradoras.

Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

                Empresas con autorización previa CNMV.

Los distribuidores y comercializadores de energía eléctrica y de gas natural.

Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

*Agencias de publicidad y marketing comercial.

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. (*)

EXCEPTO profesionales de la salud que ejerzan su actividad a título individual.

Las entidades que emiten informes comerciales que puedan referirse a personas físicas.

                Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

Las empresas de seguridad privada.

Las federaciones deportivas cuando traten datos de menores de edad.

¿Cuál es el proceso de certificación?

En el post ¡Certifica a tu Delegado de Protección de Datos! Ya anunciábamos cómo iba a ser el proceso pero ahora, con la LOPD GDD ya publicada hace varios meses, recordamos:

La AEPD en colaboración con la Entidad Nacional de Certificación (ENAC) ha impulsado un esquema de certificación que establece una serie de prerrequisitos para aquellos que quieran convertirse en DPD/DPO certificados:

La necesidad de formación.

La superación de un examen.

Esta certificación no será obligatoria pero sí altamente recomendable y de gran valor profesional ante la gran demanda que se proyecta en el presente y en el futuro.

Para acceder a la fase de evaluación, será necesario cumplir alguno de los siguientes prerrequisitos:

Justificar una experiencia profesional de, al menos, 5 años en proyectos y/o actividades y tareas relacionadas con las funciones del DPO en materia de protección de datos.

Experiencia profesional de, al menos, 3 años y una formación mínima reconocida de 60 h en relación con las materias incluidas en el programa del Esquema.

Experiencia profesional de, al menos, 2 años y una formación mínima reconocida de 100 h.

Justificar una formación mínima reconocidas de 180 h.

Una vez realizada la formación correspondiente se puede acudir a convocatoria de examen para la certificación. En el documento ESQUEMA DE CERTIFICACIÓN podéis ver las características de esta acreditación.

Las Entidades de certificación acreditadas por ENAC podéis consultarlas en este enlace.

Desde PREVENSYSTEM queremos ofreceros la posibilidad de formaros para actuar como DELEGADO DE PROTECCIÓN DE DATOS,  a través de los siguientes cursos de formación:

Curso DPO 60 horas

Curso DPO 100 horas

Curso Universitario DPO – Universidad San Jorge (200 h)

O bien, contratarlo externamente y sería una persona de nuestro equipo quien se encargaría de esta tarea.

En el siguiente POST sobre DPD estudiaremos:

¿Cómo comunicar a la AEPD la designación realizada?

¿Qué tareas  y funciones debe llevar a cabo esta persona en mi organización?

¿Qué debe facilitar la empresa responsable de  tratamiento al DPD en su actividad?

Autora: María Gota – Directora de Proyectos Departamento Técnico PS - Responsable Área Protección de Datos Personales.

 
Empresa Responsable con el VIH  y el Sida en EspañaFundación Metal AsturiasWorld Compliance AssociationSTAREGISTERPLAN DE RESPONSABILIDAD SOCIAL DE ARAGÓNTarjeta Profesional de la ConstrucciónMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoEntidad Acreditada por Servicio de Prevención AjenoMiembros de AENOAUniversidad de San JorgeIntedyaPrevilaborFondo Social Europeo
PrevenSystem 2019