Un DPD es un Delegado de Protección de Datos, figura que se crea en el RGPD para dar respuesta a la necesidad de un profesional especializado en la protección de datos, que ayude de manera experta, a la implementación de la normativa en donde sea necesario.
Este profesional tiene funciones muy claras, que se detallan en el RGPD:
- Informar y asesorar sobre las obligaciones de la normativa en Protección de Datos
- Supervisar el cumplimiento de la normativa, y de las políticas de la empresa en protección de datos, como:
- a) Asignación de responsabilidades
- b) Concienciación y formación al personal
- c) Auditorías
- Asesorar sobre la evaluación de impacto y supervisar su aplicación
- Asesorar sobre las notificaciones de quiebras de seguridad
- Cooperar con la autoridad de control, que en España es la Agencia Española de Protección de Datos, o el Organismo autonómico competente en materia de Protección de Datos.
- a) Como intermediario entre los interesados, empresa y autoridad de control
- b) Responder a cuestiones sobre tratamiento de datos
- c) Realizar consultas ante dicha autoridad
- Figurará además como contacto para el ejercicio de derechos de los interesados.
Viendo todas estas actividades se hace evidente que el DPD es realmente útil en cualquier empresa que, en su actividad, deba recopilar y gestionar datos personales (desde nombre, dirección y DNI, a imágenes o datos fiscales, de salud, etc.)
Por eso la normativa europea obliga a algunas entidades a nombrar un DPD, dependiendo el tipo o categoría y cantidad de datos que trate en su actividad. Y, por otra parte, las entidades que no están obligadas pueden designar un DPD de forma voluntaria, aplicando uno de los principios del RGPD como es la proactividad.
Y ¿qué hará el DPD por nosotros?
Un DPD ayudará y asesorará a cualquier empresa en el cumplimiento del RGPD. Lo que es realmente útil, primero porque el papeleo y el trabajo de adaptación será más sencillo y, en segundo lugar, porque una infracción puede derivar en la imposición de sanciones que pueden llegar a ser de 20 millones de euros o el 4% del volumen de negocio anual, en el caso más grave.
Cualquier tratamiento de datos personales debe cumplir con varios principios del RGPD, de los que hablaremos en próximos artículos.
Aquí mencionamos algunos:
- Legitimidad: el tratamiento debe tener una justificación legal.
- Proporcionalidad: limitación y minimización de datos. Se deben recoger sólo los datos necesarios e imprescindibles.
- Medidas de responsabilidad proactiva, entre ellas:
- -Tener un DPD
- -Realizar un Registro de Actividades (RAT)
- -En algunos casos realizar un EIPD (Evaluación de Impacto de Protección de Datos)
- -Procedimientos de notificación de brechas de seguridad
- -Procedimientos de gestión y resolución de derechos de los afectados
- -…
Los casos en que el DPD es obligatorio son:
- – Administración Pública y organismos e instituciones públicas (ayuntamientos, ministerios, hospitales, colegios…)
- – Si se realizan tratamientos de datos a gran escala y de manera sistemática. Como la videovigilancia en empresas o instalaciones (e grandes comunidades o un hotel, un garaje o aparcamiento, un gran almacén…)
- – Entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
El nombramiento de un DPD puede ser voluntario, aunque es altamente recomendado y en algunos casos obligatorio dependiendo de la categoría de datos que gestionen en su actividad. Como decíamos más arriba, el DPD ayudará, asesorará y velará en la gestión de lo relacionado con la Protección de Datos, no solo para evitar sanciones, sino también dando a sus clientes una imagen de transparencia, calidad, y responsabilidad hacia sus datos.