EL DPD COMO SUJETO … PERO TAMBIÉN CON VERBO Y PREDICADO COHERENTE

EL DPD COMO SUJETO … PERO TAMBIÉN CON VERBO Y PREDICADO COHERENTE

Hace tiempo que se viene hablando mucho del DPD: de su perfil, sus responsabilidades, sus funciones etc.  y en relación con estas alguna vez ya me pronuncié sobre el “escalón” tan grande que separa las funciones que recoge el articulado del RGPD (artículo 39) y si el DPD tenía que “arremangarse o no”

https://www.govertis.com/y-yo-que-pensaba-que-el-dpd-no-tenia-que-arremangarse

El RGPD contempla como funciones del DPD las siguientes:

1. Informar y asesorar al responsable,  al encargado y empleados.
2. Supervisar el cumplimiento incluyendo asignación de responsabilidades, concienciación y formación del personal.
3. Asesorar acerca de la evaluación de impacto y supervisar su aplicación.
4. Cooperar con la autoridad de control.
5. Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas.

A las que el texto del Proyecto de LOPD ha añadido la gestión de reclamaciones:

 “1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos será posible, con carácter previo a la presentación de reclamaciones contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, que el afectado se dirija al delegado de protección de datos de la entidad contra la que se reclame.

 En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.

2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, sin haber hecho uso de la posibilidad a la que se refiere el apartado anterior, aquéllas podrán remitir la reclamación al delegado de protección de datos a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes.

 Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VII de esta ley orgánica y en sus normas de desarrollo”.

Es lo que yo llamo vida o “bola extra”… el DPD “te puede librar”….

Por cierto recientemente en el curso de verano de la UIMP por parte de la AEPD se dijo que independientemente de la suerte o ventura de esta disposición del PLOPD la AEPD está ya aplicando dicha posibilidad de que el DPD gestione las reclamaciones y de hecho que si la AEPD recibe una reclamación de una organización que tiene designado DPD podrá derivar al mismo la reclamación.

Pero continuemos … Si descendemos a las tareas del DPD que el esquema de certificación y el documento de la AEPD sobre el DPD en AAPP relacionan, estas serían las siguientes:

1. Cumplimiento de principios relativos al tratamiento: limitación de finalidad, minimización o exactitud de los datos
2. Identificación de las bases jurídicas de los tratamientos
3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos
4. Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas
5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos
6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados
7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados
8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos requeridos
9. Identificación de los instrumentos de TID adecuados a las necesidades y características de la organización y de las razones que la
10. Diseño e implantación de políticas de protección de datos
11. Auditoría de protección de datos
12. Establecimiento y gestión de los registros de actividades de tratamiento
13. Análisis de riesgo de los tratamientos realizados
14. Implantación de las medidas de protección de datos desde el diseño y por defecto adecuadas a los riesgos y naturaleza de los tratamientos
15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos
16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos y de notificación a las autoridades y a los afectados
17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos
18. Realización de evaluaciones de impacto sobre la protección de datos
19. Relaciones con las autoridades de supervisión
20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos

Y – como se ve claramente en la citada relación –  las citadas funciones tienen algunas carencias notables:

1. a) Unas no respetan una deseable segregación de funciones.
2. b) Otras son tareas sin verbo, lo que constituye una contradicción.
3. c) Y algunas son acciones que es muy raro que las ejerza el DPD pues parecen más propias de otro rol.

Por ello  y después de algunas vueltas he decidido ponerles verbo a las acciones y dotarlas de cierta coherencia y “me ha salido” este listado que espero os sea de utilidad:

1. Supervisar sobre el cumplimiento de principios relativos al tratamiento: limitación de finalidad, minimización o exactitud de los datos.
2. Supervisar sobre la identificación de las bases jurídicas de los tratamientos.
3. Valorar la compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
4. Supervisar la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas.
5. Supervisar la existencia de medidas de información a los afectados por los tratamientos de datos.
6. En relación con el ejercicio de derechos:
7. a) Mantener las relaciones con las autoridades de supervisión y en su caso interesados en el caso de que se produzcan procedimientos de tutela de derechos o se inicien actuaciones relacionadas con un posible incumplimiento en materia de protección de datos derivado de un derecho.
8. b) Alentar y aprobar la implantación de programas de formación y sensibilización del personal en materia de protección de datos en los que se incluya la correcta formación en materia de ejercicio de derechos a los actores con responsabilidades en la materia.
9. c) Alentar y aprobar la implantación de programas de sensibilización a los interesados “s” (empleados) en relación con el tratamiento de sus datos personales que incluya lo relativo al ejercicio de sus derechos.
10. d) Establecer mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
11. Aprobar y supervisar el procedimiento de contratación de encargados de tratamiento, incluido el contenido de los contratos requeridos.
12. Aprobar las transferencias internacionales de Datos que se realizan y supervisar que todas ellas disponen de una causa de legitimación.
13. Supervisar y aprobar el diseño e implantación de políticas de protección de datos.
14. Promover la realización de controles del Sistema de Gestión de Protección de Datos (incluidas las auditorías), y supervisar sus resultados.
15. Supervisar y aprobar los registros de actividades de tratamiento, así como los cambios que se realicen en relación con los mismos.
16. Supervisar y aprobar los análisis de riesgo de los tratamientos realizados.
17. Supervisar y aprobar los supuestos de determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
18. Supervisar y aprobar las evaluaciones de impacto sobre la protección de datos que se realicen.
19. Supervisar y aprobar la implantación de las medidas de protección de datos desde el diseño y por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
20. Supervisar y aprobar la implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
21. Supervisar y aprobar la implantación el establecimiento de procedimientos de gestión de violaciones de seguridad de los datos y de notificación a las autoridades y a los afectados.
22. Mantener las relaciones con las autoridades de control que se deriven de las violaciones de seguridad, procedimiento de tutela de derechos, procedimiento sancionador o cualquier otro motivo.
23. Mantener las relaciones con interesados que se requieran.
24. Promover la implantación de programas de formación y sensibilización del personal en materia de protección de datos.
25. Supervisar que el sistema de gestión de protección de datos es conveniente, adecuado y eficaz y promover la mejora continua.
26. Asesorar a la Dirección sobre los niveles de riesgos aceptables.
27. Elevar los resultados, de las revisiones del estado de la gestión de la protección de datos a la Dirección.
28. Resolver los conflictos de responsabilidades que puedan aparecer entre los diferentes roles y/o entre diferentes áreas en relación con la protección de datos de carácter personal.
29. Participar en la gestión de las reclamaciones que se produzcan en materia de protección de datos.
30. Supervisar la gestión de brechas de seguridad, Particularmente antes de su comunicación ante la autoridad de control y/o interesados.

Eduard Chaveli

IT Lawyer & CEO de GOVERTIS

@eduardchaveli

Govertis

Expertos en Ciberseguridad, Privacidad,  IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.

www.govertis.com