E n el post anterior que, con el título El delegado de protección de datos, en España, definíamos las funciones que ayudarán a cualquier empresa u organización a tomar una decisión al respecto; a elegir al DPD, y conocer su importante función.
Ahora queremos volver a ella y plantear otra cuestión contestando la anterior. Si bien el RGPD ó el GDPR (artículos 37 al 39) establece claramente tres casos en los que será obligatorio la designación de un DPO por el responsable de tratamiento y o el encargado del tratamiento, y estos son:
Descubre y conoce cómo el DPD puede ayudar a implementar el nuevo RGPD y la LOPD GDD AQUÍ.
De acuerdo pero, ¿acaso no ha variado los supuestos que se incluyen ,con la nueva LOPD y GDD sobre la elección de un DPD de forma obligatoria, y que entró en vigor el año 2018?
- Colegios Profesionales.
- Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad…
- Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios)
- Entidades bancarias y compañías de seguros.
- Compañías de electricidad, energía y gas.
- Responsable de ficheros de morosos.
- Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010) que a su vez afecta a multitud de sectores diversos.
- Entidades de crédito, compañías de seguros y servicios de inversión.
- Instituciones de inversión colectiva, sociedades de inversión, fondos de pensiones, sociedades de capital riesgo, sociedades de garantía reciproca.
- Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
- Promotores inmobiliarios, APIs, y agencias inmobiliarias. Auditores de cuentas, contables externos y asesores fiscales.
- Notarios y registradores. Abogados, procuradores u otros profesionales (cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaria u otros servicios afines a una sociedad)
- Casino de juego.
- Joyeros.
- Galerías de arte y anticuarios.
- Depósito, custodia o transporte de fondos o medios de pago.
- Loterías y otros juegos de azar.
- Fundaciones y asociaciones.
- Gestores de sistemas de pago y tarjetas de crédito.
- Agencias de publicidad ( cuando elaboren perfiles de los usuarios)
- Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales)
- Entidades que realicen informes comerciales de personas físicas.
- Operadores de juego online.
- Empresas de seguridad privada.
- Federaciones deportivas ( cuando traten datos de menores de edad)
El CEO;¿Es responsable de la protección de datos?
Como Consejero delegado o Director ejecutivo, es el máximo responsable de la gestión y dirección administrativa de la empresa. Podría decirse que el CEO es el pilar de la empresa, ya que es el fundador y quien formula el propósito, la visión y la misión de la compañía.
Según el RGPD, se desprende que quién, dentro de la empresa privada, designa un Delegado de Protección de Datos, debe ocupar el cargo inherente a la responsabilidad y habitualmente el CEO comprende la responsabilidad delegada de la organización pero…
EL CIO; ¿ puede ser responsable de protección de datos ?
Cómo CIO (Chief Information Officer) suele ocupar y liderar la gestión estratégica de Tecnologías de Información, encargados de planificar, organizar, coordinar, gestionar y controlar la estrategia de uso y apropiación de TI, y todo lo que conlleva esta tarea. Si añadimos otro perfil ejecutivo tal como el CTO, Director de tecnología.
El director de tecnología (del inglés chief technical officer o chief technology officer, abreviado como CTO) es una posición ejecutiva dentro de la organización en el que la persona responsable se concentra en asuntos tecnológicos y científicos.
Otro perfil cercano que estará implicado y debe responsabilidad de una parte importante de la designación del DPD o al menos de su asesoramiento es el Chief Data Officer (CDO) uno de los principales ejecutivos de la organización, el cual asume la responsabilidad de la estrategia relacionada con los datos y la información, el gobierno de datos, el control y desarrollo de políticas y la explotación efectiva de los datos.
Si observamos algunas de las tareas propias de la designación a un DPD/ DPO, se acomodarían perfectamente a su designación por el CEO, CIO, CTO; CDO,.
Por ejemplo, el DPD asesoraría a CEO CIO,CTO,CDO, entre otras cuestiones.
- Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
- Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
- Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
- Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
¿Hay otras funciones ejecutivas dentro de la organización que son proclives a poder designar un DPD?
Si, sin duda, y brevemente las nombramos:
El CFO El director de finanzas o financiero o CFO (por sus siglas en inglés: chief financial officer) de una compañía es el ejecutivo a cargo de la gestión financiera de la organización . Es responsable de la planificación, ejecución e información financieras, ¿puede ser responsable de protección de datos?
Otras figuras fundamental en el terreno empresarial es el CCO (Chief Communications Officers) uno de los elementos clave actuales de cualquier CEO de una gran corporación. Siendo una persona de gran confianza dentro del Comité de Dirección que tiene el CEO.
Otra figura clave del marketing y la imagen de las empresas en los últimos años es la del CDO (Chief Digital Officer) o director digital, ya que ha proliferado extraordinariamente el mercado online y las compañías virtuales y queda a la par con la gestión y protección del dato. Quedarse obsoleto en materia digital, donde el dato es clave; es la forma más rápida de quedar al margen del mercado
– Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que quien designara el DPD en la organización, este deberá poder relacionarse con los niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el Delegado de Protección de Datos
De las funciones genéricas del DPD se pueden concretar en tareas de consulta, asesoramiento y supervisión y, además de las que hemos descrito anteriormente, añadimos las siguientes para todas y cualquiera de las áreas nombradas en la organización, como responsables:
CEO,CIO,CTO,CDO, CFO,CCO,CDO
- Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
- Identificación de las bases jurídicas de los tratamientos.
- Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
- Diseño e implantación de políticas de protección de datos.
- Auditoría de protección de datos.
- Establecimiento y gestión de los registros de actividades de tratamiento.
- Análisis de riesgo de los tratamientos realizados.
- Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
- Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
- Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
- Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
- Realización de evaluaciones de impacto sobre la protección de datos.
- Relaciones con las autoridades de supervisión.
- Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
CONSEJO: Informar y asesorar al responsable o al encargado del tratamiento y al personal que se ocupen y observen las obligaciones que les incumben en virtud del RGPD. Es una función más que DECISIVA e IMPORTANTE
El RGPD o GDPR señala algunas aplicaciones del DPD