Blog RGPD - Reglamento General de Protección de Datos

Consultores protección de datos
Contacto:  91 089 07 20 - 91 896 07 03
Vaya al Contenido

Cómo cumplir el RGPD (V)

Reglamento General de Protección de Datos
Publicado de en RGPD · 28 Febrero 2018
Tags: DPODPD
LA RESPONSABILIDAD EN EL RGPD

DELEGADO DE PROTECCIÓN DE DATOS (DPD-DPO)
Muchas organizaciones deberán nombrar un delegado de protección de datos para que sea responsable de supervisar el cumplimiento del RGPD, proporcionar información y asesoramiento al Responsable y trabajar en colaboración con la autoridad de control.

Se debe nombrar un delegado de la protección de datos cuando:
- El tratamiento lo lleva a cabo una autoridad pública;
- Las actividades principales de la organización requieran una observación habitual y sistemática de los interesados a gran escala; o
- Las actividades principales de la organización consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

También pueden nombrar un DPO todas aquéllas organizaciones que lo deseen de forma voluntaria. En la nueva Ley de Protección de Datos que se está tramitando en sede parlamentaria, se incluye un listado de actividades que tendrán que nombrar DPO pero debemos esperar a la fecha de su publicación.

Las obligaciones del RGPD son tales que tener orientación y apoyo de un especialista en protección de datos será una medida esencial en la gestión del riesgo, de la misma manera que las organizaciones disponen de directores de Recursos humanos o Seguridad de la información.

Cuando se nombre un DPO éste deberá ser independiente lo que no significa que en todos los casos se deba nombrar una persona externa a la entidad (un DPO puede ser un empleado). El puesto puede ser una función a tiempo parcial o combinada con otros deberes, pero, al desempeñar su actividad, el DPO debe tener una vía jerárquica independiente y debe estar facultado para informar directamente al consejo de administración de la entidad sin interferencias. La persona nombrada debe ser un profesional en materia de protección de datos con "conocimiento especializado de la ley y prácticas de protección de datos" para que pueda desempeñar sus funciones.

¿Qué cualificación necesita el delegado de la protección de datos?
El DPO debe tener las cualidades profesionales adecuadas y conocimientos suficientes de la normativa de protección de datos. En la actualidad no hay un requisito expreso de tener ninguna cualificación o certificado en concreto aunque nuestra autoridad de control, la Agencia de Protección de Datos, ha promovido un esquema de certificación de delegados de protección de datos. Ahora se está a la espera de que la entidad de certificación acreditada comience a realizar los exámenes pertinentes para obtener esta certificación como DPO.

NOTIFICACIÓN DE LA VIOLACIÓN DE DATOS Y SANCIONES
El aumento en los ciberataques de perfil alto se refleja en las obligaciones de seguridad para la protección de los datos a que obliga el RGPD y las obligaciones paralelas establecidas por las Directivas del Consejo, como la Directiva (UE) 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, la Directiva (UE) 2016/681 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave o la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
 
Será obligatorio que una organización denuncie cualquier violación de los datos a su Autoridad de Control en el plazo de 72 horas desde que tuvo conocimiento de ésta. Si este requisito no se cumple, el informe final debe ir acompañado de  una explicación del porqué del retraso. La notificación debe incluir información específica, la cual incluye una descripción de las medidas tomadas para abordar la violación y mitigar sus posibles efectos secundarios.

Cuando la violación de datos pueda ocasionar un alto riesgo para los derechos y libertades de las personas, la organización deberá ponerse en contacto con ellas "sin dilación indebida". Este contacto no será necesario si hay implantadas medidas de protección apropiadas, fundamentalmente el cifrado, para eliminar los riesgos para los interesados.

Cualquier infracción del RGPD está sujeta a un régimen graduado de sanciones económicas con multas hasta un 4 % de la facturación global anual o 20 millones de euros, la que sea mayor de las dos. Al determinar el nivel de la multa, la autoridad de control debe considerar varios factores como la gravedad de la violación, si esta fue intencionada o fue el resultado de una negligencia y las medidas que se hayan tomado para minimizar la violación. Además, ahora las personas podrán demandar a las organizaciones para conseguir una indemnización para cubrir tanto los daños materiales con los no materiales, por ejemplo la angustia que pueda producirles.

Dada la magnitud de las multas potenciales, los derechos de las personas para ir a juicio y exigir indemnización, y el predominio y la eficacia del ciberdelito, un riesgo de violación de los datos debería considerarse como un tema prioritario por todas las organizaciones.


C/ Floridablanca, 32
San Lorenzo de El Escorial
28200 Madrid
91 089 07 20
91 896 07 03
645 785 425
info@adaptaciongdpr.com
Regreso al contenido