Delegado de Protección de Datos
¿Quién es el Delegado de Protección de Datos?
Una de las principales novedades del RGPD es la aparición de la figura del Delegado de Protección de Datos. Este rol se encarga de seguir las directrices para cumplir con la ley de protección de datos, de informar a la entidad responsable o al encargado de tratamiento (LOPD y RGPD) acerca de sus obligaciones legales en cuanto a protección de datos.
Con la aparición de esta figura, se debe evitar la confusión de estos profesionales con los encargados de tratamiento de datos. El Delegado de Protección de Datos se centra en los riesgos asociados a las operaciones de tratamiento de datos, teniendo en cuenta la naturaleza, el alcance, el contexto y fines de tratamiento. Paralelamente, la definición del encargado de tratamiento por LOPD y RGPD es la de la persona física o jurídica, autoridad pública que lleva a cabo un tratamiento de datos personales por encargo del responsable del tratamiento.
Encargado de tratamiento (LOPD y RGPD)
Asimismo, cabe indicar que la designación del Delegado de Protección de Datos puede realizarla tanto el responsable como el encargado de tratamiento (LOPD y RGPD), cuando ambas empresas se encuentren dentro de los supuestos del Delegado de Protección de Datos obligatorio.
También, cabe señalar que la figura del Delegado de Protección de Datos no es obligatoria para todas las empresas. Tal como recoge el artículo 37.1 del RGPD, la designación del Delegado de Protección de Datos es necesaria en tres supuestos concretos.
Obligatoriedad designación Delegado de Protección de Datos:
Cuando el tratamiento lo lleva a cabo una autoridad u organismo Público, excepto los tribunales que actúen en ejercicio de su función judicial.
Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala.
Cuando las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.
Respecto a las funciones de Delegado de Protección de Datos, este se encarga de:
- Informar y asesorar al responsable o al encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
- Supervisar el cumplimiento de la normativa.
- Asesorar respecto de la evaluación de impacto relativa a la protección de datos.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto para cuestiones relativas al tratamiento.
Una vez distinguidos entre Delegado y encargado de tratamiento, se debe diferenciar para no caer en equivocación, entre responsable y encargado del tratamiento (RGPD).
La principal diferencia entre el responsable y el encargado del tratamiento (RGPD) es que el primero decide sobre el uso y la finalidad de los datos personales, mientras que el segundo, debe seguir sus instrucciones acerca del uso y finalidad de estos. Es decir, el perfil del encargado del tratamiento (RGPD), a diferencia de lo que ocurre con la figura de responsable del tratamiento, no decide sobre el tratamiento de los datos personales.
Así, todo tratamiento de datos personales por parte del encargado del tratamiento (RGPD) debe registrarse en un contrato. Este contrato de encargado de tratamiento de datos es un documento o acto jurídico que vincula a responsable y encargado del tratamiento y regula las relaciones entre ambos respecto al tratamiento de los datos personales.
Cabe indicar que el contrato de encargado de tratamiento de datos debe establecerse por escrito o en formato electrónico. Además, el contrato de encargado de tratamiento de datos debe incluir como mínimo: Servicio que el encargado va a prestar, Naturaleza, finalidad y duración del tratamiento, Clases de interesados, Tipo de datos personales a los que se va a acceder y Derechos y obligaciones del responsable.
Funciones del encargado del tratamiento
Dentro de las funciones definidas que desempeña del encargado del tratamiento por RGPD
Tratar los datos de acuerdo con las instrucciones proporcionadas por el responsable, incluyendo las transferencias internacionales de datos.
Asistir al responsable mediante la aplicación de las medidas técnicas y organizativas necesarias, teniendo en cuenta la naturaleza del tratamiento, para garantizar que este pueda responder a las solicitudes de los interesados para ejercer sus derechos ARCO.
Ayudar al responsable a garantizar el cumplimiento de los dispuestos en los artículos 32 a 36 del RGPD, sobre seguridad del tratamiento, notificación de violaciones de seguridad o elaboración de valuaciones de impacto.
- Suprimir o devolver, a elección del responsable, los datos personales una vez a que haya finalizado la prestación de servicios.
- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones anteriores.
¿Qué debe incluir el contrato de encargado de tratamiento de datos?
Asimismo, siguiendo con el análisis de qué debe incluir el contrato de encargado de tratamiento de datos, indicar que el contrato de encargado de tratamiento debe incluir medidas de seguridad y la mención a régimen de subcontratación.
El contrato de encargado de tratamiento debe establecer la obligación del encargado de adoptar medidas de seguridad necesarias, tal y como recoge el artículo 32 del RGPD. El encargado debe evaluar los posibles riesgos derivados del tratamiento. Una vez realizada la evaluación. Además, el contrato de encargado de tratamiento de datos debe hacer mención del régimen de subcontratación. El RGPD exige la autorización previa y por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado para desarrollar el servicio encomendado. Este tercero ostentaría la condición de subencargado.
¿Qué otros aspectos se deben tener en cuenta en un contrato de encargado de tratamiento de RGPD? Otro de los aspectos que se debe tener en cuenta en un contrato de encargado de tratamiento de datos es la colaboración en el cumplimiento de las obligaciones del responsable y la colaboración con el responsable para demostrar el cumplimiento
En contrato de encargado de tratamiento de datos se debe indicar cómo ayudará el encargado al responsable a asegurar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan o la notificación de violaciones de datos a las Autoridades de Protección de Datos. También, el contrato de encargado de tratamiento de datos debe mencionar la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones, así como contribuir a la realización de auditorías realizadas o bien por el responsable, o bien por otro auditor autorizado por el responsable.
Finalmente, los puntos a considerar en un contrato de encargado de tratamiento de datos son asistir al responsable en la obligación de responder al ejercicio de derechos de los interesados y el destino de los datos al finalizar la prestación.
En el contrato de encargado de tratamiento (RGPD) debe estipularse en qué forma el encargado asistirá al responsable en la respuesta al ejercicio de derechos que puedan llevar a cabo los interesados. Por último, se ha de incluir en el contrato de encargado de tratamiento de datos es que, si una vez finalizada la prestación, el encargado debe proceder a la supresión o a la devolución de los datos personales, así como de cualquier copia existente, al responsable del tratamiento. No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Apostamos por adaptar tu empresa y negocio al cumplimiento de la protección de datos con la fórmula más sencilla, cómoda y sobre todo, fácil. Si tienes dudas acerca de cómo funciona la ley de protección de datos o de qué son transferencias internacionales en RGPD, ponte en contacto con nosotros. Consúltanos ya sin compromiso.
TU ALIADO EN PROTECCIÓN DE DATOS En Allover Consultors adaptamos la actividad de tu negocio para cumplir con el Reglamento General de Protección de Datos de forma rápida, sencilla y digital.
