Ali Talip Pınarbası
¿Qué es un responsable de la protección de datos (RPD)?
"RPD" significa Responsable de Protección de Datos. Un responsable de la protección de datos (RPD) es un experto en legislación de protección de datos cuyas funciones principales son informar a una organización sobre los requisitos de cumplimiento del RGPD, asesorar sobre el cumplimiento del RGPD y supervisar el esfuerzo de cumplimiento del RGPD de una organización de forma continua.
Cuando una organización recopila y trata datos personales sensibles, como datos sanitarios, o cuando supervisa el comportamiento de las personas mediante herramientas como las cookies de seguimiento, expone a sus clientes, a los visitantes de su sitio web y/o a sus empleados a elevados riesgos para su intimidad debido a la naturaleza de las actividades de tratamiento.
Por lo tanto, una organización de este tipo debe buscar el asesoramiento de un experto sobre cómo cumplir con los estrictos requisitos del GDPR de la UE y del Reino Unido y supervisar su cumplimiento del GDPR en todo momento.
Aquí es donde entra en escena el concepto de delegado de protección de datos: El RGPD de la UE y del Reino Unido exige a las organizaciones que designen a un delegado de protección de datos si cumplen determinados criterios.
¿Cuándo debe una organización nombrar a un responsable de la protección de datos?
Según el GDPR de la UE y del Reino Unido, debe designar un DPO si cumple uno de estos tres criterios:
- Sus actividades principales requieren "un seguimiento a gran scale, regular y sistemático de las personas"
Como puede deducirse de esta definición, deben cumplirse tres elementos.
En primer lugar, las "actividades principales" se refieren a sus objetivos empresariales primarios y si recopila y utiliza datos personales para lograr sus objetivos primarios, puede cumplir este criterio.
En segundo lugar, su tratamiento de datos personales debe consistir en un seguimiento regular y sistemático de las personas. Esto incluiría el seguimiento en línea, la elaboración de perfiles y la publicidad basada en el comportamiento.
En tercer lugar, el seguimiento de los individuos debe realizarse a gran scale. Aunque no hay umbrales establecidos, hay que tener en cuenta varios criterios, como el número de individuos afectados, el volumen de datos personales y la gama de datos personales.
- Sus actividades principales "consisten en el tratamiento a gran scale de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10."
Cuando recoge y utiliza datos personales sensibles, como datos sanitarios o relacionados con el origen racial o étnico, expone a las personas a mayores riesgos. Por tanto, si procesa este tipo de datos scale gran escala, está obligado a designar a un RPD.
- Si es usted una autoridad u organismo público.
Si usted es una autoridad u organismo público, debe designar a un RPD. No obstante, están exentos los organismos públicos que actúen en ejercicio de poderes judiciales.
¿Cuáles son las principales responsabilidades de un responsable de la protección de datos?
El artículo 39 del RGPD enumera las principales responsabilidades de un RPD, que son las siguientes:
- Informar y asesorar tanto a la organización como a sus empleados sobre el GDPR y otros requisitos de la ley de protección de datos.
Un RPD se encarga de informar a una organización y a sus empleados sobre los requisitos tanto del RGPD como de otras leyes de protección de datos pertinentes. Por ejemplo, el PECR sería otra ley de protección de datos pertinente en el Reino Unido.
En el desempeño de este deber, un RPD puede redactar decisiones para establecer nuevos procesos o revisar los existentes. Por ejemplo, un RPD puede aconsejar que la organización introduzca cambios en las actividades de tratamiento existentes para garantizar el cumplimiento de los principios de minimización de datos del RGPD. Además, la redacción de políticas y normas internas relacionadas con las leyes de protección de datos, como las políticas de retención de datos, también entraría en el ámbito de esta tarea.
- Supervisar el cumplimiento de la organización con el GDPR y otras leyes de privacidad
En virtud del artículo 39.1.(b) del RGPD, un RPD debe supervisar de forma continua el cumplimiento del RGPD y otras leyes de protección de datos por parte de una organización.
Para cumplir este deber, un RPD puede solicitar información a distintos departamentos de la organización para identificar las actividades de tratamiento de datos personales y puede revisar el cumplimiento de las actividades de tratamiento de datos existentes.
- Asesoramiento sobre evaluaciones de impacto de la protección de datos (EIPD)
El artículo 39, apartado 1, letra c), del (c) del RGPD exige que un RPD preste asesoramiento en relación con las evaluaciones de impacto sobre la protección de datos previa solicitud de conformidad con el artículo 35 del RGPD.
En sus Orientaciones sobre los RPD, el WP29 recomienda que el RPD pueda asesorar sobre una variedad de cuestiones, como si se debe realizar una DPIA, confirmar si se ha realizado una DPIA de conformidad con el GDPR y cómo llevar a cabo una DPIA.
- Actuar como primer punto de contacto para la Autoridad de Supervisión y cooperar con ella.
Una Autoridad de Control de Protección de Datos, como la OIC del Reino Unido, puede ejercer diversas competencias, como las de investigación y corrección enumeradas en el artículo 58 del RGPD.
Por ejemplo, una Autoridad de Supervisión puede iniciar una investigación y solicitar documentos internos de una organización.
Por lo tanto, un RPD tiene la misión de ser un punto de contacto para las Autoridades de Supervisión y permitir a la Autoridad acceder a los documentos e información necesarios.
- Actuar como primer punto de contacto para las personas cuyos datos son tratados por la organización.
Cuando una persona ejerce los derechos enumerados en el artículo 13-23 del RGPD, como el derecho de acceso o el derecho a la supresión de sus datos, un RPD debe actuar como primer punto de contacto y asesorar sobre cómo gestionar las solicitudes de acceso de los interesados.
¿Qué cualificaciones y competencias debe tener un RPD?
El artículo 37, apartado 5, del RGPD establece que una organización designará a un RPD "sobre la base de sus cualidades profesionales y, en particular, de sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos".
Además, la organización también debe considerar la capacidad de un RPD para cumplir las tareas clave de un RPD enumeradas en el artículo 39 del RGPD, como asesorar sobre las evaluaciones de impacto de la protección de datos.
Como puede observar, el RGPD no especifica ninguna cualificación particular para un RPD.
Sin embargo, tanto las orientaciones de la OIC como las del EDPB sobre los RPD establecen que un RPD debe tener conocimientos especializados tanto del RGPD de la UE como de otras leyes de protección de datos.
Por lo que respecta al nivel de conocimientos especializados, la Guía sobre los RPD de la OIC establece que el nivel de conocimientos especializados del RPD debe ser proporcional al nivel de riesgos para los datos personales y a los tipos de actividades de tratamiento.
La OIC también recomienda que un RPD tenga conocimientos del sector específico en el que opera su organización.
Por último, pero no por ello menos importante, unas sólidas dotes de comunicación y organización son también fundamentales para las tareas clave de un RPD, ya que éste debe comunicarse continuamente con diversas partes interesadas.
Garantizar la independencia del responsable de la protección de datos
Un RPD sólo puede desempeñar sus funciones con éxito si se le permite proporcionar el asesoramiento más objetivo y preciso. Por lo tanto, es vital garantizar la independencia y autonomía del RPD.
El artículo 38, apartado 3, del RGPD establece que una organización no puede ordenar a un RPD que actúe de determinada manera, ni despedirlo o sancionarlo por el desempeño de sus funciones.
Además, el considerando 97 del RGPD aclara que, incluso cuando un empleado de una organización es nombrado RPD, éste debe seguir actuando de forma independiente y autónoma en el desempeño de sus funciones.
Por ejemplo, una organización no puede exigir que el RPD interprete los requisitos del RGPD de una manera determinada o no puede dar instrucciones sobre cómo gestionar las solicitudes de los interesados o sobre qué infracciones de datos notificar a la autoridad de control.
Otras lecturas y recursos sobre los responsables de la protección de datos
Directrices del WP29 sobre RPD:
https://ec.europa.eu/newsroom/just/document.cfm?doc_id=44100
Texto y considerandos del RGPD:
https://gdpr-info.eu/recitals/no-97/
Orientaciones de la Autoridad de Protección de Datos del Reino Unido sobre los RPD:
Orientaciones de la Autoridad Francesa de Protección de Datos sobre los RPD:
Principales conclusiones
En este artículo le hemos ayudado a comprender lo siguiente sobre los responsables de la protección de datos (RPD):
- Un RPD es un experto en leyes de protección de datos que asesora, supervisa y garantiza el cumplimiento de los requisitos del RGPD por parte de una organización.
- El nombramiento de un RPD es obligatorio para las organizaciones dedicadas al seguimiento a scale escala, al tratamiento de datos sensibles o para las que son autoridades públicas.
- Entre las principales responsabilidades de un RPD se incluyen el asesoramiento sobre el RGPD, la supervisión del cumplimiento, el apoyo a las Evaluaciones de Impacto sobre la Protección de Datos (EIPD) y la función de contacto con las autoridades supervisoras y los particulares.
- Los RPD deben tener un conocimiento experto de la legislación sobre protección de datos, grandes dotes de comunicación y actuar de forma independiente y autónoma.
Los DPO desempeñan un papel vital en la salvaguarda del cumplimiento de la protección de datos y en la reducción del riesgo organizativo. Para saber cómo Privasee puede ayudarle con sus necesidades de DPO, reserve una demostración hoy mismo.
RPD - Preguntas frecuentes
¿Puede un RPD ocupar otros cargos dentro de la organización?
Sí, el artículo 38 (6) del RGPD establece que un RPD puede desempeñar otras funciones dentro de la organización siempre que no haya conflictos de intereses.
¿Cuáles son los posibles conflictos de intereses de un RPD?
Si otra función requiere que el RPD determine los fines y los medios del tratamiento de datos personales, esto daría lugar a conflictos de intereses.
¿Con qué frecuencia debe un RPD realizar auditorías de protección de datos?
No existen intervalos especificados para llevar a cabo una auditoría de protección de datos. Un RPD debe tener en cuenta diversos criterios, como el volumen de datos personales tratados, las categorías de datos y las necesidades organizativas, para determinar la frecuencia de las auditorías.
¿Cuáles son las consecuencias de no nombrar a un RPD cuando es necesario?
Si no nombra a un DPO en virtud del GDPR del Reino Unido, puede enfrentarse a multas de hasta 8,7 millones de libras esterlinas o el 2% de la facturación mundial anual total en el ejercicio financiero anterior, lo que sea mayor.
En virtud del GDPR de la UE, puede enfrentarse a multas administrativas de hasta 10 millones de euros, o hasta el 2 % del volumen de negocios anual total mundial del ejercicio financiero anterior.
Buenas prácticas para gestionar la función de un RPD
La legislación sobre protección de datos es un ámbito muy complicado y dinámico en el que se producen novedades casi a diario.
Por lo tanto, los RPD deben seguir ciertas buenas prácticas para mantenerse al día y facilitar el cumplimiento del RGPD.
En primer lugar, un RPD debe recibir formación periódica sobre las leyes de protección de datos e informarse sobre las leyes de protección de datos pertinentes. Por ejemplo, pueden apuntarse a cursos o asistir a actos y seminarios organizados por las autoridades de control.
En segundo lugar, los RPD deben realizar auditorías periódicas para detectar cualquier proceso o práctica no conforme, de modo que puedan asesorar a las organizaciones sobre cómo hacer que sus actividades de tratamiento de datos sean conformes.
Además, los RPD deben ser transparentes y honestos en la comunicación con los interesados y las autoridades de control.
%20(34).png)
%20(33).png)
%20(29).png)
