Las empresas deberán tener un responsable de protección de datos a partir de mayo

El reglamento de protección de datos, que será de obligado cumplimiento desde el 25 de mayo, incluye la necesidad de designar a un responsable en las entidades que traten información personal o sensible.

A poco más de 100 días para que el conjunto de países miembros de la Unión Europea empiecen a aplicar el contenido del nuevo reglamento general de protección de datos (RGPD), el rol del delegado de protección de datos (DPD) ha ganado importancia. Esta figura laboral resultará esencial para muchas compañías, puesto que el texto legal insiste en su obligatoriedad para todas las autoridades y organismos públicos, así como para empresas que realicen una observación habitual y sistemática de las personas a gran escala o que tengan entre sus actividades principales el tratamiento de datos sensibles.
En España, la Agencia Española de Protección de Datos (AEPD) lleva tiempo allanando el camino y resolviendo muchas de las dudas generadas por el RGPD, como ocurre con los responsables de protección de datos. De hecho, en julio de 2017, la autoridad nacional presentó, junto a la Entidad Nacional de Acreditación (ENAC), el primer Esquema de certificación de DPD y, hace menos de un mes, emitió la primera autorización a ANF AC, que podrá certificar la idoneidad de todos los expertos que aspiren a ser delegados de protección de datos.

Otros méritos

En el caso en el que los candidatos no reúnan la puntuación necesaria para conseguir la certificación y así poder aspirar a ser delegados de protección de datos, según explica la Agencia Española de Protección de Datos, los profesionales también podrán presentar méritos adicionales que sumarán puntos a su experiencia laboral y personal:
– Formación universitaria específica o complementaria en protección de datos o privacidad, según el Espacio Europeo de Educación Superior.
– Trabajo de fin de carrera o curso en protección de datos o privacidad.
– Prácticas en empresas en temas de protección de datos o privacidad.
– Experiencia laboral. Funciones específicas en asuntos de privacidad en un puesto de trabajo durante un año.

Sin embargo, acceder a esta nueva actividad no será tarea fácil. De hecho, la AEPD detalla en su exhaustivo texto el perfil del profesional que aspire a cubrir el puesto, así como las competencias requeridas para poder convertirse DPD. Así, para que las autoridades acreditadas puedan certificar que un trabajador es adecuado, éste deberá ser capaz de recabar información para determinar las actividades de tratamiento; analizar y comprobar la conformidad de las actividades de tratamiento e informar, asesorar y emitir recomendaciones al encargado del tratamiento.

También tendrá que asesorar en la aplicación del principio de la protección de datos por diseño y por defecto; aconsejar si se debe llevar a cabo o no una evaluación de impacto de protección de datos y qué metodología debe seguirse al efectuar este tipo de valoración. Por otro lado, deberá ser capaz de recabar información para supervisar el registro de las operaciones de tratamiento; así como priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos.

Además de todas estas capacidades, según explica la AEPD en su Esquema de certificación, todos los que estén interesados en lanzarse en esta nueva aventura laboral y tratar de acceder a la fase de evaluación, deberán cumplir alguno de los siguientes requisitos: justificar una experiencia profesional de, al menos, cinco años en proyectos o actividades relacionadas con las funciones del DPD en materia de protección de datos; tener una experiencia demostrable de, al menos, tres años en proyectos o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema; acreditar una experiencia profesional de, al menos, dos años en proyectos o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa del Esquema; o, por último, justificar una formación mínima reconocida de 180 horas en relación con las materias incluidas en el programa del texto elaborado por la AEPD.

Método de evaluación

Respecto al proceso de evaluación que deberán realizar los aspirantes a DPD, la autoridad española de protección de datos destaca que éste tendrá que estar basado en la valoración del conocimiento y experiencia, así como en el desarrollo profesional continuo. Las cosas así, el candidato estará obligado a demostrar que posee la competencia adecuada, es decir, los conocimientos teóricos, la capacidad profesional, así como las habilidades personales necesarias para cumplir esta misión, según los términos y condiciones establecidos por la AEPD.

Entre los temas sobre los que los DPD deberán demostrar sus conocimientos, hay que destacar el que está íntimamente relacionado con el reglamento general de protección de datos, es decir, todo lo que tiene que ver con el cumplimiento normativo del RGPD, la normativa nacional, la directiva sobre ePrivacy o las directrices y las guías elaboradas por el grupo de trabajo artículo 29.

También se verificará su capacidad ante la responsabilidad activa, lo que significa que deberá demostrar su facilidad para evaluar y gestionar los riesgos relacionados con el tratamiento de datos personales, su capacidad de valoración del impacto de la protección de datos desde el diseño o por defecto.

Por último, también se tendrá en cuenta para la evaluación qué estrategia elegiría el candidato para garantizar la correcta ejecución del RGPD, ya sea mediante una evaluación de los sistemas de seguridad instaurados en la compañía o con auditorías de protección de datos.

Fuente: Expansión

One comment

  1. ¿Cómo? ¿Un Responsable?, No No…..
    Toda empresa, que realice tratamiento de datos personales, es en sí misma la RESPONSABLE del tratamiento.
    Incluso una persona física, o sea, de carne y hueso, puede ser RESPONSABLE del tratamiento de datos personales que haga.

    Con el RGPD, las empresas deberán tener un Delegado en Protección de Datos, el cual aconsejará, al RESPONSABLE…entre otras cosas..
    Las PYMES, están exentas de tener esa figura.

    Me gusta

Los comentarios están cerrados.