Protección de Datos prepara la certificación del delegado

17/03/2017 - 6:00
  • Publicará las directrices para las organizaciones antes de verano
Foto: Archivo

La Agencia Española de Protección de Datos (AEPD) publicará el Esquema de Certificación del delegado de protección de datos -DPO, por sus siglas en inglés: data protection officer- en el primer semestre de este año. El 28 de febrero, el organismo mantuvo una reunión con asociaciones relacionadas con la privacidad y con las autoridades catalana y vasca, para constituir el comité de expertos que elaborará el documento.

El Esquema de Certificación contendrá las directrices -programa, formación, personal competente, etc.- que deben cumplir las organizaciones, organismos o instituciones que quieran expedir el certificado que acredite a los DPO.

Por su parte, será la Entidad Nacional de Acreditación -Enac- quien examine que, quienes otorguen el certificado, cumplen los requisitos contenidos en el Esquema. En este sentido, su director técnico, Ignacio Pina, subraya la necesidad de que el profesional acuda a entidades de certificación acreditadas.

Fuentes de la AEPD confirman que el certificado no será obligatorio para el ejercicio de la función de delegado, pero sí servirá para que el profesional demuestre las competencias requeridas para el cargo.

¿Quién debe contratarlo?

El Reglamento europeo de protección de datos, que entra en vigor en mayo de 2018, obligará a muchas empresas a contratar un delegado de protección de datos. La norma, en lugar de fijar un número de personas o de datos afectados, opta por describir unos supuestos en los que será obligatorio.

Así, el artículo 37 lo exige cuando el tratamiento lo lleve a cabo una autoridad u organismo público; cuando la actividad principal de la organización consista en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y cuando la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos o datos de condenas y delitos.

Para aclarar las zonas grises que dejan los supuestos, la AEPD ha difundido unas Directrices elaboradas por las autoridades de los Estados y de la UE -Grupo del Artículo 29- que precisan los conceptos a los que se refiere el Reglamento.

El texto recomienda a las empresas, en caso de que tengan dudas sobre si deben contratar o no al DPO, que elaboren un informe que documente el análisis realizado.

Cuando el Reglamento se refiere a "actividades principales" hace referencia a supuestos en los que el objetivo fundamental de la empresa es el tratamiento de datos o, también, los casos en los que, si bien no es su principal función, sí resulta parte intrínseca de su actividad.

Dentro de este segundo caso, por ejemplo, encajaría un hospital: su actividad principal es ofrecer servicios sanitarios, pero ésta no puede entenderse sin el tratamiento de los datos de los pacientes.

Quedan excluidos los supuestos en los que el tratamiento es una actividad auxiliar, como, por ejemplo, las operaciones con los datos de los empleados para pagar las nóminas.

Cualificación profesional

El Reglamento tampoco precisa la cualificación profesional que debe tener el DPO, pero exige que tenga un conocimiento experto de la legislación y de las prácticas de protección de datos, y esté adaptado a las actividades de la empresa. Además, aunque la formación jurídica será necesaria, el cargo no se limitará a juristas. Los expertos también recomiendan estar familiarizado con las nuevas tecnologías.


PUBLICIDAD


Otras noticias

Contenido patrocinado

Comentarios 0

Deja tu comentario

Comenta las noticias de elEconomista.es como usuario genérico o utiliza tus cuentas de Facebook o Google Friend Connect para garantizar la identidad de tus comentarios:

Usuario

Facebook

Google+


elEconomista no se hace responsable de las opiniones expresadas en los comentarios y las mismos no constituyen la opinión de elEconomista. No obstante, elEconomista no tiene obligación de controlar la utilización de éstos por los usuarios y no garantiza que se haga un uso diligente o prudente de los mismos. Tampoco tiene la obligación de verificar y no verifica la identidad de los usuarios, ni la veracidad, vigencia, exhaustividad y/o autenticidad de los datos que los usuarios proporcionan y excluye cualquier responsabilidad por los daños y perjuicios de toda naturaleza que pudieran deberse a la utilización de los mismos o que puedan deberse a la ilicitud, carácter lesivo, falta de veracidad, vigencia, exhaustividad y/o autenticidad de la información proporcionada.

Iuris

Viernes, 10 de Marzo de 2017

Iuris - Viernes, 10 de Marzo de 2017

Blogs




Copyright 2006-2016, Editorial Ecoprensa, S.A. | Política de Privacidad | Aviso Legal | Política de cookies | Cloud Hosting en Acens