Protección de Datos prepara la certificación del delegado

17/03/2017 - 6:00
  • Publicará las directrices para las organizaciones antes de verano
Foto: Archivo

La Agencia Española de Protección de Datos (AEPD) publicará el Esquema de Certificación del delegado de protección de datos -DPO, por sus siglas en inglés: data protection officer- en el primer semestre de este año. El 28 de febrero, el organismo mantuvo una reunión con asociaciones relacionadas con la privacidad y con las autoridades catalana y vasca, para constituir el comité de expertos que elaborará el documento.

El Esquema de Certificación contendrá las directrices -programa, formación, personal competente, etc.- que deben cumplir las organizaciones, organismos o instituciones que quieran expedir el certificado que acredite a los DPO.

Por su parte, será la Entidad Nacional de Acreditación -Enac- quien examine que, quienes otorguen el certificado, cumplen los requisitos contenidos en el Esquema. En este sentido, su director técnico, Ignacio Pina, subraya la necesidad de que el profesional acuda a entidades de certificación acreditadas.

Fuentes de la AEPD confirman que el certificado no será obligatorio para el ejercicio de la función de delegado, pero sí servirá para que el profesional demuestre las competencias requeridas para el cargo.

¿Quién debe contratarlo?

El Reglamento europeo de protección de datos, que entra en vigor en mayo de 2018, obligará a muchas empresas a contratar un delegado de protección de datos. La norma, en lugar de fijar un número de personas o de datos afectados, opta por describir unos supuestos en los que será obligatorio.

Así, el artículo 37 lo exige cuando el tratamiento lo lleve a cabo una autoridad u organismo público; cuando la actividad principal de la organización consista en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y cuando la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos o datos de condenas y delitos.

Para aclarar las zonas grises que dejan los supuestos, la AEPD ha difundido unas Directrices elaboradas por las autoridades de los Estados y de la UE -Grupo del Artículo 29- que precisan los conceptos a los que se refiere el Reglamento.

El texto recomienda a las empresas, en caso de que tengan dudas sobre si deben contratar o no al DPO, que elaboren un informe que documente el análisis realizado.

Cuando el Reglamento se refiere a "actividades principales" hace referencia a supuestos en los que el objetivo fundamental de la empresa es el tratamiento de datos o, también, los casos en los que, si bien no es su principal función, sí resulta parte intrínseca de su actividad.

Dentro de este segundo caso, por ejemplo, encajaría un hospital: su actividad principal es ofrecer servicios sanitarios, pero ésta no puede entenderse sin el tratamiento de los datos de los pacientes.

Quedan excluidos los supuestos en los que el tratamiento es una actividad auxiliar, como, por ejemplo, las operaciones con los datos de los empleados para pagar las nóminas.

Cualificación profesional

El Reglamento tampoco precisa la cualificación profesional que debe tener el DPO, pero exige que tenga un conocimiento experto de la legislación y de las prácticas de protección de datos, y esté adaptado a las actividades de la empresa. Además, aunque la formación jurídica será necesaria, el cargo no se limitará a juristas. Los expertos también recomiendan estar familiarizado con las nuevas tecnologías.


PUBLICIDAD


Contenido patrocinado

Otras noticias


Comentarios 0


Iuris

Viernes, 11 de Agosto de 2017


Blogs




Copyright 2006-2016, Editorial Ecoprensa, S.A. | Política de Privacidad | Aviso Legal | Política de cookies | Cloud Hosting en Acens