Modulo I parte 7. La Responsabilidad Proactiva.

1
MODULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.6
RESPONSABILIDAD PROACTIVA

2
MODULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.6 RESPONSABILIDAD PROACTIVA
OBJETIVOS ESPECÍFICOS
 Conocer las medidas proactivas que se deben establecer en la protección de datos
 Identificar los principios fundamentales de RGPD
 Determinar la cualificación y funciones del DPD y RT

3
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
ESTRUCTURA DIDÁCTICA
Introducción
1.6.1 Privacidad desde el diseño y por defecto. Principios fundamentales
1.6.2 Evaluación de impacto relativa a la protección de datos y consulta previa. Los
tratamientos de alto riesgo.
1.6.3 Seguridad de los datos personales. Seguridad técnica y organizativa.
1.6.4 Las violaciones de la seguridad. Seguridad técnica y organizativa.
1.6.5 El Delegado de Protección de Datos (DPD). Marco normativo.
1.6.6 Código de conducta y certificaciones

4
Regulado en los Art. 5.2 y 24, así como en el considerando 64 del RGPD.
El principio de Responsabilidad Proactiva es una directriz de la Organización para la Cooperación y el
Desarrollo Económicos (OCDE) del 23 de septiembre de 1980 (revisadas en 2013), en el código de
conducta “Guías de Protección de la Privacidad y flujo transfronterizo de datos personales”.
En 2010, el GT29 (opinión 3/2010) en su informe sobre el principio de la Responsabilidad Proactiva o
«Principio de Accountability», propuso esta normativa con el fin de que los responsables del
tratamiento pusieran en marcha procedimientos y medidas eficaces para cumplir con lo establecido
en la Directiva.
En 2015, la Autoridad de Control Francesa el CNIL , aprueba una norma de protección de datos
definiendo reglas y mejoras para que las organizaciones garanticen una gestión respetuosa.
INTRODUCCIÓN

5
En el RGPD, el «principio de Accountability» o de «Responsabilidad Proactiva» crea para los
responsables y encargados unas obligaciones “proactivas y sistemáticas” del cumplimiento de la
normativa de protección de datos con técnicas y organizativas adecuadas. Además estos son
responsables del cumplimiento de las obligaciones que determinar el RGPD.
Todo ello conlleva un cambio a la Directiva 95/46/CE. La directiva buscaba evitar la infracción de los
derechos de los interesados, a contra posición el RGPD tiene como objetivo anticiparse a la
infracción de los derechos. Esto último es esencial, ya que la falta de medidas u obligaciones
requeridas por el RGPD es una infracción.
INTRODUCCIÓN

6
INTRODUCCIÓN
El RGPD establece un catálogo que los responsables deben de aplicar para garantizar que los
tratamientos que realizan son conformes con el Reglamento, las medidas son:
• Registro de Actividades.
• Medidas de Protección de Datos desde el Diseño.
• Medidas de Protección de Datos por Defecto.
• Medidas de Seguridad Adecuadas.

7
INTRODUCCIÓN
● Evaluaciones de Impacto.
● Autorización previa o Consultas previas con la
Autoridad de Control.
● Delegado de Protección de Datos.
● Notificación de Violación de Seguridad.
La conclusión es que el Responsable y el Encargado del
tratamiento deben implantar un sistema de privacidad que
permita demostrar el cumplimiento del RGPD

8
1.6.1. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO. PRINCIPIOS FUNDAMENTALES.
Regulado por el Art. 25 del RGPD.
El Reglamento establece los principios desde el momento de diseñar el tratamiento «Privacy by
Design», y antes de que el tratamiento se produzca «Privacy by Default».
Tomar las medidas de seguridad desde el diseño, es sobre donde se debe desarrollar un programa de
cumplimiento en materia de protección de datos.
La Doctora Ann Cavoukian, desarrolló el concepto de Privacy by Design o privacidad desde el diseño
hace ya veinte años en Canadá. La Doctora Cavoukian y su equipo han venido colaborando con
multinacionales como IBM o Oracle, para implementar su modelo. La cuestión de fondo planteada por
la Doctora Ann Cavoukian fue:
«Aprovechar a fondo toda la potencialidad que ofrecen las nuevas tecnologías a costa de la
privacidad, o bien establecer unas normas para salvaguardar la privacidad de las personas, para
proteger sus datos personales.»

9
Privacidad es la necesidad y control de las personas sobre la recogida, uso y divulgación de
sus datos personales.
La privacidad debe protegerse por defecto y desde su mismo diseño “design-thinking”
(Metodología de Diseño), siempre que se vaya a gestionar o entrar en contacto con datos
personales. Abarca:
tecnología informática;
modelo organizativo;
arquitectura física;
ecosistema informático conectado, e incluso;
modelos de gobierno o gobernanza.
El Responsable del tratamiento debe de utilizar medidas de seguridad según la técnica, el
coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento y riesgos de
esta para los derechos y libertades de las personas físicas.

10
Destacan en otras posibles medidas (RGPD 32):
a) Credenciales basadas en certificados cualificados.
b) Trazabilidad y autenticación basada en el empleo de firma electrónica.
c) Cifrado de datos empleando componente de criptografía fuerte.
d) Seudonimización segura.
e) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
f) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida en caso de incidente físico o técnico.
g) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
h) Transmisión de datos en redes empleando protocolos SSL o TLS.

11
Principios fundamentales:
1. Protección Preventiva y Proactiva.
2 .Privacidad “por Defecto”.
3. Privacidad integrada en el Diseño.
4. Funcionalidad Plena “Win-Win” en lugar de “Suma cero”.
5. Protección durante todo el Ciclo Vital: “End to End”.
6. Visibilidad y Transparencia: “Trust but Verify”.
6. Respeto y Empoderamiento del Interesado. El Interesado en el Centro. “User-centric”.

12
PROTECCIÓN PREVENTIVA Y PROACTIVA
Tanto Responsable como Encargado deben de tener una actitud consciente, diligiente y
proactiva hacia todos los tratamientos de datos personales que lleve a cabo.
La normativa convierte al responsable de los datos en un encargado de los mismo, poniendo
las medidas de protección necesarias para garantizar su seguridad y que sea conforme con el
RGPD.
Debe de ser procesada y diseñada desde el principio para identificar los riegos y minimizarlos.
Para ello es necesario:
• Implicación de la Dirección de la empresa.
• Implementación real, no queda sólo en políticas.
• Establecer roles, asignando responsabilidades concretas.
• Formación y sensibilidad del personal. Es el principal elemento de riesgo.
• Implantación de controles que determinen la efectividad real.

13
PRIVACIDAD “POR DEFECTO”
Los datos deben de estar protegidos en todos los sistemas. Al igual que la privacidad de manera
automática sin tener la necesidad de ser intervenida o decisión humana.
Estos datos recogidos deben de ser los imprescindibles y los que permiten la finalidad perseguida.
Se debe de garantizar la integridad, es decir, adoptar las medidas necesarias para que los datos
no puedan ser alterados, perdidos, robados, hackeados o con fines secundarios no autorizados
por sus titulares. Para ello es necesario:
1. Detallar la finalidad perseguida, de una manera clara, específica y significativa, y
de antemano ser comunicada a su titular y consentida.
2. Minimización de los datos y controles de acceso, uso, conservación y publicación.

14
PRIVACIDAD INTEGRADA EN EL DISEÑO
La privacidad no debe de ser algo incomodo, sino por el contrario algo imprescindible como
elemento esencial que es, lógicamente conviviendo de forma armonizada con la funcionalidad
práctica del sistema.
La Doctora Cavoukian, impone modelos “win-win”, en el que la privacidad debe de tener el
mismo interés y esfuerzo que el objetivo empresarial del sistema diseñado.
La privacidad debe de ser respetada y demostrada por el diseño y el desarrollo. Para ello es
necesario:
• Se aplican estándares y políticas susceptibles de revisión y auditoría externa.
• Se ejecutan evaluaciones de impacto y análisis de riesgo en términos de privacidad.
• Debe ser demostrable la minimización del impacto en términos de privacidad de la
tecnología, operación o sistema resultante.

15
FUNCIONALIDAD PLENA “WIN-WIN” EN LUGARES DE “SUMA CERO”
La Dra. Cavoukian califica de “suma cero” compara varios conceptos como: privacidad o seguridad,
privacidad o funcionalidad, privacidad o beneficio empresarial.
En esta comparación la privacidad siempre sale perdiendo, pero en realidad, la Privacidad desde el
Diseño no tiene la plena funcionalidad. Es imprescindible una plena armonía, para ello es
necesario:
• Un sistema será plenamente funcional y a la vez plenamente respetuosos con la privacidad
de sus usuarios, o no serán nada.
• Los intereses y los objetivos perseguidos deben ser documentados desde el principio del
diseño, evitando entrar en controversias de “suma cero”.
• Se debe asumir que no es fácil, pero sí que es posible. La excelencia nunca es simple.
• Si se aplica con éxito demostrable este principio, se cumple con la responsabilidad
proactiva.
• Acreditar privacidad en un sistema, es un elemento de prestigio, y refuerza la confianza de
los interesados.

16
PROTECCIÓN DURANTE TODO EL CICLO VITAL
El certificado electrónico garantiza autenticidad, por ello el Responsable o Encargado del
tratamiento utilice la firma electrónica que es reconocida oficialmente por los gobiernos de
todos los países avanzados y no un documento no sustentado por norma legal.
La disponibilidad de los datos es el resultado de aplicar de forma adecuada diferentes medidas de
seguridad:
• Minimización del perímetro de recogida, extensión del tratamiento, tiempo de custodia y
ámbito de revelación.
• Protocolos sólidos de cifrado, destrucción, acceso y registro.
• Empleo de credenciales reconocidas en Derecho.
• Política de seguridad.

17
PROTECCIÓN DURANTE TODO EL CICLO VITAL
El certificado electrónico garantiza autenticidad, por ello el Responsable o Encargado del
tratamiento utilice la firma electrónica que es reconocida oficialmente por los gobiernos de
todos los países avanzados y no un documento no sustentado por norma legal.
La disponibilidad de los datos es el resultado de aplicar de forma adecuada diferentes medidas de
seguridad:
• Minimización del perímetro de recogida, extensión del tratamiento, tiempo de custodia y
ámbito de revelación.
• Protocolos sólidos de cifrado, destrucción, acceso y registro.
• Empleo de credenciales reconocidas en Derecho.
• Política de seguridad.

18
VISIBILIDAD Y TRANSPARENCIA: ‘TRUST BUT VERIFY’
Estos factores son determinantes para establecer:
• La diligencia en la protección de la privacidad ante la Autoridad de Control, y .
• La confianza antes los interesados.
Para reforzar la confianza de los interesas en el sistema es conveniente la publicación de la Política
de Privacidad, las auditorías realizadas, la adhesión a códigos de conductas, etc.
Es importante que el cliente tenga una herramienta fácil de acceso a su datos ya que es un derecho.
Siempre que sea posible, poniendo a disposición mecanismos “on line” en tiempo real.

19
VISIBILIDAD Y TRANSPARENCIA
La información debe de ser clara e inteligible, para ello es necesario:
• Que el interesado tenga la seguridad de que el sistema gestiona su conformidad de tal forma
que rige la RGPD.
• La recogida de datos personales es una responsabilidad sobre su custodia. A cuanto más datos,
más riesgos.
• La responsabilidad sobre el cumplimiento de las políticas de privacidad se asignará a personas
identificadas.
• Las políticas de privacidad están documentadas y son públicas.
• Los responsables y encargados del tratamiento cuentan con Acuerdos de Confidencialidad que
son suscritos por todos sus colaboradores, internos y externos.
• Se establecerán mecanismos de comunicación, reclamación y se ofrece arbitraje institucional
para dirimir litigios.

20
RESPECTO Y EMPODERAMIENTO DEL INTEREASO. EL INTERESSADO EN EL CENTRO <<USER-
CENTRIC>>
El objetivo es prever poniéndose en la posición del interesado, de esta manera se podría
satisfacer a las necesidades que manifieste su malestar.
Un método exitoso es el modelo “usuario-céntrico”, en el cual se facilita un procedimiento en el
que los usuarios puede compartir experiencias e ideas. Para ello es necesario:
Garantía de una configuración de privacidad sólida y por defecto.
Consentimiento libre y específico.
Calidad de la información tratada: la información debe ser correcta, completa y actualizada.
Acceso: Los titulares tendrán acceso a sus datos personales, y serán informados de los tratamientos
y cesiones efectuadas sobre ellos. Y de las políticas de gestión aplicadas sobre los mismos.
Facilitar un panel de control que permite al usuario acceder desde un solo punto a la información
que el Responsable utiliza en sus distintos servicios, dando la oportunidad de que el propio
interesado pueda modificar los términos de privacidad de cada uno de ellos.

21
1.6.2. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA.
LOS TRATAMIENTOS DE ALTO RIESGO
Regulado en el Art. 35, considerando 84 Y 92 del RGPD.
La evaluación de Impacto sobre la Protección de Datos (EIPD), es una medida preventiva, ya que
se hace antes de inicias las operaciones de tratamiento de los datos personales, es decir se conecta
con la "protección de datos desde el diseño y por defecto" (Privacy by Design - Privacy by Default).
Esta evaluación se debe de revisar y actualizar periódicamente.
Si después de realizar una evaluación de impacto las operaciones de tratamiento previstas
continúan siendo un alto riesgo, el responsable deberá consultar a la autoridad de protección de
datos competente, incluyendo la documentación que prevé el RGPD, la Evaluación de Impacto y la
Autoridad de Control puede indicar recomendaciones e incluso prohibir el tratamiento. La consulta
previa es un plazo de ocho semanas (se pueden añadir hasta 6 semanas más), la Autoridad de
Control en esta consulta previa puede usar cual quieriera de los poderes recogidos en el Art 58 del
RGPD.

22
Al hacer la consulta previa, el responsable del tratamiento antes de proceder debe facilitar a la
autoridad de control la información siguiente (art. 36.3del RGPD):
a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los
encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un
grupo empresarial;
b) los fines y medios del tratamiento previsto;
c) las medidas y garantías establecidas para proteger los derechos y libertades de los
interesados de conformidad con el presente Reglamento;
d) en su caso, los datos de contacto del Delegado de Protección de Datos;
e) la evaluación de impacto relativa a la protección de datos establecida en el Artículo 35, y
f) cualquier otra información que solicite la autoridad de control.
La Directiva 2016/680, que se tiene que transponer como en el artículo 28 regula la
consulta previa. Máximo el 6 de mayo de 2018, establece las directrices sobre
transmisión de datos por cuestiones judiciales y policiales.

23
Esta directiva será de aplicación en el intercambio de datos transfronterizo dentro de la UE y
establece también unos estándares mínimos para el tratamiento de datos en cada estado de la
Unión Europea.
La Directiva tiene como finalidad proteger a todas las personas implicadas en investigaciones
policiales o procesos judiciales, ya sean estos víctimas, acusados o testigos.
Artículo 26: prevé que los tratamientos en los cuales es de aplicación la Directiva también pueden
ser objeto de una EIPD, y establece unas circunstancias equivalentes a las que prevé el RGPD. Lo
mismo sucede con el contenido mínimo de la EIPD, regulado en el artículo 26.2 de la Directiva, que
sería equivalente al artículo 35.6 del RGPD.
Artículo 28: regula la consulta previa, también es equivalente las lista que elabora las Autoridades
de Control que tienen que determinar que tratamientos tienen que ser objeto de consulta previa.

24
1.6.3. SEGURIDAD DE LOS DATOS PERSONALES. SEGURIDAD TÉCNICA Y ORGANIZATIVA
Regulado en el Art. 32 del RGPD.
Para garantizar un nivel adecuado de seguridad se tienen que tener en cuenta las medidas técnicas
y organizativas, según el estado de la técnica, el coste de la aplicación, el Responsable y el Encargad
de tratamiento. Para esto se tiene que tener en cuenta.
 La seudonimización y el cifrado de datos personales;
 La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
 La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida
en caso de incidente físico o técnico; .
 Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas
técnicas y organizativas para garantizar la seguridad del tratamiento.
Para evaluar el nivel de seguridad se tienen que tener en cuenta varios riesgos como la perdida o
alteración accidental o dichas situaciones con la mismas características.

25
1.6.4. LAS VIOLACIONES DE LA SEGURIDAD. NOTIFICACIÓN TÉCNICA Y ORGANIZATIVA
Regulado en el Art. 33 Y 34, Art. 55 y 56, y considerando 85 del RGPD.
El Reglamento define las violaciones de seguridad como «quiebras de seguridad», aquí incluye todos los
incidentes que ocasionen destrucción, perdida o alteración ilícita, de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Cuando se produzca una violación de seguridad el responsable del tratamiento la notificará a la
Autoridad de Control competente sin dilación indebida. Después de que se ocasione una violación de
seguridad hay un plazo de 62 horas, excepto si están en riesgos los derechos y libertades de las personas
físicas.
El encargado informará inmediatamente al responsable del tratamiento la violación, esta notificación ira
incluida con:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales. Comunicar el
nombre y los datos de contacto del Delegado de Protección de Datos.
b) Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
c) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner
remedio a la violación de la seguridad de los datos personales, incluyendo, las medidas
adoptadas.

26
1.6.4. LAS VIOLACIONES DE LA SEGURIDAD. NOTIFICACIÓN TÉCNICA Y ORGANIZATIVA
A tener en cuenta:
• Si no se pudiera entregar toda la información conjunta, se irá entregando gradualmente.
• El responsable del tratamiento documentará cualquier violación de la seguridad de los
datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas
correctivas adoptadas.
• La información debe de ser claro y sencillo.

27
1.6.5. EL DELEGADO DE PROTECCIÓN DE DATOS (DPD). MARCO NORMATIVO
REGULACIÓN
Regulado en los Art. 36 al 39 y en el considerando 96 del RGPD.
Exposición de Motivo IV y Capitulo III del PLOPD *31, determina que,
• Puede tener un carácter obligatorio o voluntario.
• Estar o no integrado en la organización del responsable o encargado.
• Ser tanto una persona física como una persona jurídica.
«El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y,
en particular, a sus conocimientos especializados del Derecho y la práctica en materia de
protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.»
(Art. 36.5 del RGPD).

28
REGULACIÓN
Conocimiento público:
• La designación y cese del delegado de protección de datos ha de comunicarse la autoridad de
protección de datos competente en el plazo de diez días. (Art. 34.3 del PLOPD)
• La Autoridad mantendrá una relación pública y actualizada de las empresas que han nombrado
DPD y la identidad de los mismos. (Art. 34.4 del PLOPD)
• La Entidad de Certificación mantendrá una relación pública y actualizada de los DPD
certificados. (Esquema AEPD-DPD v.1.1 Apdo. 6.9)
• El Responsable o Encargado del tratamiento no tendrá el deber de publicar en sus soportes de
información a los interesados, el nombre y apellidos del DPD, es suficiente con la identificación
de los datos de contacto del mismo. (Directrices del GT29 “16E - WP 243 rev.01” “2.6
Publicación y comunicación de los datos de contacto del DPD).
• Como una buena práctica, el Grupo de Trabajo del artículo 29 recomienda también que las
organizaciones informen a sus empleados del nombre y datos de contacto del DPD

29
REGULACIÓN
El DPD no es el responsable de los datos, lo es el responsable y el encargado del tratamiento el que
debe de garantizar y demostrar que se realiza conforme al RGPD. No será de aplicación al delegado
de protección de datos el régimen sancionador (Art. 60.2 del PLOPD *31).
El DPD debe de prestar máxima atención a los documentos en los que se delimitan sus funciones, y
el alcance de la prestación de servicios que suscribe con un Responsable o un Encargado del
tratamiento no establecidos en la Unión (Art. 30 del PLOPD *31). Caso de asumir la figura de
“Representante”:
1. La autoridad de control de protección de datos podrá imponer al representante,
solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el
Reglamento (UE) 2016/669.
2. Los responsables, encargados y representantes responderán solidariamente de los daños y
perjuicios causados.

30/62
CUALIFICACIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS A DESIGNAR
El RGPD determina que el DPD debe de tener conocimientos especializados. Al igual que el
Responsable que ha nombrado a un DPD, tiene que hacer que demuestre que tiene unos
conocimientos expertos.
En las Directrices publicadas por el GT29 “16E - WP 243 rev.01” especifica “2.5. Conocimientos y
habilidades del DPD”: El artículo 36.5 del RGPD estipula que el DPD :
Además de que el DPD tenga unos conocimientos expertos, tiene que demostrar sus función, es
decir, cualidades personales idóneas.
"se designará en función de su cualificación profesional y, en especial, su conocimiento experto de la
legislación y las prácticas de protección de datos así como su capacidad de desempeñar las tareas a
las que hace referencia el artículo 39 del RGPD”.

31
El RGPD determina que el DPD debe de tener conocimientos especializados. Al igual que el
Responsable que ha nombrado a un DPD, tiene que hacer que demuestre que tiene unos
conocimientos expertos.
En las Directrices publicadas por el GT29 “16E - WP 243 rev.01” especifica “2.5. Conocimientos y
habilidades del DPD”: El artículo 36.5 del RGPD estipula que el DPD :
Además de que el DPD tenga unos conocimientos expertos, tiene que demostrar sus función, es
decir, cualidades personales idóneas.
"se designará en función de su cualificación profesional y, en especial, su conocimiento experto de la
legislación y las prácticas de protección de datos así como su capacidad de desempeñar las tareas a
las que hace referencia el artículo 39 del RGPD”.

32
Las cualidades profesionales que deber tener un DPD, son las que se nombran a continuación:
Las competencias y conocimientos pertinentes incluyen:
• Conocimientos especializados sobre la legislación y prácticas nacionales y europeas en materia
de protección de datos y una profunda comprensión del RGPD.
• Comprensión de las operaciones de tratamiento que se llevan a cabo.
• Comprensión de las tecnologías de la información y de la seguridad de los datos.
• Conocimiento del sector empresarial y de la organización.
• Capacidad para fomentar una cultura de protección de datos dentro de la organización.
«El DPD desempeña un papel fundamental en la promoción de una cultura de protección de datos
dentro de la organización y contribuye a la aplicación de elementos esenciales del RGPD, como los
principios relativos al tratamiento de datos, los derechos de los interesados, la protección de los datos
desde el diseño y por defecto, el registro de las actividades de tratamiento, la seguridad del
tratamiento y la notificación y comunicación de las violaciones de la seguridad de los datos.»

33
En conclusión, el DPD tiene que tener conocimientos acordes al carácter sensible, la complejidad y
la cantidad de datos que procesa una organización. El artículo 35 del Proyecto de LOPD *31
determina que los conocimientos en la materia se podrán acreditar mediante esquemas de
certificación.
La AEPD ha publicado el Esquema de Certificación, explicando que conocimientos, habilidades o
destrezas debe de tener un DPD.
Apartado 6.2, competencias requeridas al puesto de DPD.
Anexo IV, temario de conocimientos.
El Delegado de Protección de Datos podrá ser externalizado o formar parte de la plantilla del
responsable o encargado. (Art. 36.6 del RGPD)

34
El DPD asume la responsabilidad de asesor y supervisor interno, por lo tanto, el puesto no puede
ser ocupado por personas que tengan tareas que impliquen decisiones sobre la existencia de
tratamientos de datos o sobre el modo en que van a ser tratados los datos. Pero puede ejercer a
tiempo completo como a tiempo parcial y complementar con otras tareas.
Dependiendo de las actividades, tamaño y estructura de la organización, puede ser una práctica
recomendable que los responsables y encargados del tratamiento:
• Determinen los puestos que podrían ser incompatibles con la función de DPD.
• Elaborar normas internas con el fin de evitar conflictos de intereses.
• Incluir una explicación más general sobre los conflictos de intereses.
• Declarar que su DPD no tiene ningún conflicto de intereses con respecto a sus funciones como
DPD, como medio de concienciar sobre este requisito.

35
• Incluir salvaguardias en las normas internas de la organización y garantizar que el anuncio de
convocatoria para el puesto de DPD o el contrato de servicios sea lo suficientemente preciso y
detallado para evitar un conflicto de intereses. Los conflictos de intereses pueden adoptar
diversas formas en función de si el DPD se contrata interna o externamente.
Según el GT29 en su Directriz “16E - WP 243 rev.01, se puede nombrar un DPD de forma conjunta
pero siempre que «sea fácilmente accesible desde cada establecimiento». En esta accesibilidad
entra la física y la posibilidad de que los interesados contacten con el DPD en su lengua. (Art. 36.2 –
Art. 36.3 del RGPD)
La ubicación del DPD, es recomendable que sea dentro de la Unión Europea

36
POSICIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA ORGANIZACIÓN.
1. Debe participar adecuadamente y dentro de un tiempo según las cuestiones relativas a la
protección de datos.
2. Ofrecer facilidades:
• Recursos necesarios para su desempeño.
• Accesibilidad a los datos personales, operaciones de tratamiento y a otros servicios.
• Formación continua.
3. No debe recibir instrucciones a sus funciones.
4. Autonomía en sus funciones.
5. Si se trata de una persona física integrada en la organización del responsable o del encargado
del tratamiento, no podrá ser sancionado por desempañar sus funciones, excepto que suceda
una negligencia grave.
6. Llevará las cuentas el nivel más alto del responsable o del encargado.
7. Los interesados se pueden poner en contacto con el Delegado de Protección de Datos con
cualquier conflicto.

37
8. Tiene mantener en confidencialidad sus funciones.
9. Podrá desempeñar otras funciones y cometidos, mientras no se den conflicto de intereses.
10. Actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las
autoridades autonómicas de protección de datos.
11. Cuando se detecte la existencia de vulneración relevante en materia de protección de datos, lo
comunicará inmediatamente a los órganos de administración y dirección de la organización.
Cuando más complejas o sensibles sean las operaciones de tratamiento, el DPD deberá de tener
más recursos a disposición.

38
En el caso de reclamación de los interesados ante las autoridades de protección de datos, el art. 36
del Proyecto de LOPD *31, establece:
1. El interesado previo podrá dirigirse al DPD.
2. Si la reclamación es directa a la autoridad, se remitirá la reclamación al DPD y este deberá de
responder en un mes, si este no contesta la autoridad seguirá con el proceso.
Directrices publicadas por el GT29 “16E - WP 243 rev.01” apartado “3.1. Participación del DPD en
todas las cuestiones relativas a la protección de datos personales”.
Es importante que el DPD sea considerado como un interlocutor dentro de la organización y que
forme parte de los correspondientes grupos de trabajo. Por ejemplo:
• Se invita al DPD a participar con regularidad en reuniones con los cuadros directivos altos y
medios.

39
INSTRUCCIÓNES Y DESEMPEÑO DE SUS FUNCIONES Y COMETIDO DE MANERA INDEPENDIENTE.
Regulado en el art. 38.3 del RGPD.
El RGPD ofrece unas garantías básicas para que los DPD hagan sus funciones con un alto nivel de
autonomía. Los responsables y encargados del tratamiento están obligados a garantizar que el DPD
«no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones». El
considerando 96 añade que los DPD «sean o no empleados del responsable del tratamiento».
No se les debe e influir a los DPD en la interpretación de la Ley.
Si se adoptan decisiones contrarias al consejo del DPD, el DPD puede expresarse ante el nivel mas
alto de dirección de la organización y a los encargados de la toma de decisiones.

40
CUANDO ES OBLIGADO DESIGNAR UN DELEGADO DE PROTECCIÓN DE DATOS.
Es obligatorio cuando:
• El tratamiento es llevado por una autoridad u organismo público, excepto los tribunales.
• La actividad de las operaciones de tratamiento necesite una observación habitual y sistemática
de interesados a gran escala.
• Las actividades principales son el tratamiento a gran escala de categorías especiales de datos
personales y datos relativos a condenas e infracciones penales.
Las <<actividades principales>>, son las operaciones claves necesarias para lograr los objetivos del
responsable o del encargado del tratamiento.

41
Para entender que significa a « gran escala» se debe un remitir al considerando 91:
«las operaciones de tratamiento a gran escala que persiguen tratar una cantidad
considerable de datos personales a nivel regional, nacional o supranacional y que podrían
afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por
ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos
alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de
tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en
particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus
derechos»

42
Según el Grupo de Trabajo Art. 29 se deben de tener en cuenta algunos factores para saber si el
tratamiento es a gran escala, estos son:
• El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital.
• El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de
transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte).
• El tratamiento de datos de geolocalización a tiempo real de clientes de una cadena
internacional de comida rápida con fines estadísticos, por parte de un responsable del
tratamiento especializado en la prestación de estos servicios.
• El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de
seguros o de un banco.
• El tratamiento de datos personales para la publicidad comportamental por un motor de
búsqueda.
• El tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de servicios
de telefonía o internet.

43
Como casos que no constituyen tratamiento a gran escala cabe señalar:
• El tratamiento de datos de pacientes por parte de un solo médico;
• El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un
abogado.
«La observación habitual y sistemática», son todas las formas de observación y elaboración de
perfiles en internet, por ejemplo, llevar a cabo un seguimiento de la ubicación, por ejemplo,
mediante aplicaciones móviles; programas de fidelidad;
Se interpreta «habitual» con uno o más de los siguientes significados:
• Algo continuado o se produce en intervalos concretos durante un periodo concreto.
• Repetido en momentos prefijados;
• Tiene lugar de forma constante o periódica.

44
Se interpreta «sistemático» con uno o más de los siguientes significados:
• Cuando se produce de acuerdo con un sistema.
• Preestablecido, organizado o metódico.
• Tiene lugar como parte de un plan general de recogida de datos.
• Llevado a cabo como parte de una estrategia.

45
CUÁNDO ES OBLIGADO DESIGNAR UN DELEGADO DE PROTECCIÓN DE DATOS.
PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS *31
Artículo 34.1, determina la siguiente relación, la cual debe ser interpretada como enunciativa, no
limitativa:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1964, de 13 febrero,
sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de
mayo, de Educación, y las Universidades públicas y privadas.

46
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme
a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten
habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala
perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación,
supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 26 de
abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de
ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión reguladas por el Título V del texto refundido de la Ley del
Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

47
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley
24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas
natural, conforme a la Ley 34/1998, de 6 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y
crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los
responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de
prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las
de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las
preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los
pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la
autonomía del paciente y de derechos y obligaciones en materia de información y documentación
clínica.

48
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que
puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos,
informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 26 de mayo,
de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de
Seguridad Privada.
El principio de “Accountability” o Responsabilidad Proactiva hace muy recomendable su existencia
como órgano de supervisión del cumplimiento del RGPD (DPD) en la organización o empresa. En el
Art. 46.2 h) del Reglamento, relativo al contenido de las normas corporativas vinculantes:

49
h) las funciones de todo delegado de protección de datos designado de conformidad con el artículo
36, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las
normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas
a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación
de las reclamaciones.»
«2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como
mínimo, los siguientes elementos:

50
EL DPD EN EL MARCO DE UM CONTRATO DE SERVICIOS
Directrices del GT29 “16E - WP 243 rev.01”
La función del DPD puede ser ejercida por un contrato de servicios suscritos con una persona física
u organización ajena tanto para el Responsable o Encargado del tratamiento.
Si se hace con una organización cada miembro de la organización que ejerza las funciones de DPD
debe cumplir con los requisitos de la sección 4 del RGPD.
Es importante la asignación de roles dentro del equipo de DPD y que cada uno contacte y se
encargue de un cliente.

51
FUNCIONES DEL DELEGADO DEPROTECCIÓN DE DATOS.
Regulado en el art. 39 del RGPD.
Como mínimo debe de informar y asesorar al responsable o encargado del tratamiento y a los
empleados. Por otro lado tiene que supervisar el cumplimiento de las normas legales en materia
de protección de datos y de la política del responsable o el encargado del tratamiento.
También de asesorar acerca de la evaluación de impacto relativa a la protección de datos y
supervisar su aplicación (Art.35), cooperar con la autoridad de control.
Y por último, actuar como punto de contacto de la autoridad de control para cuestiones relativas
al tratamiento, consultas previas y realizar consultas.
El responsable del tratamiento puede añadirle más funciones al DPD

52
FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS.
Art. 36 del PLOPD *31, “Posición del delegado de protección de datos”, determina:
1. Actuar como interlocutor del responsable o encargado del tratamiento ante la Agencia de
Control.
2. Al integrarse en la organización, el delegado de protección de datos no podrá ser removido ni
sancionado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en
su ejercicio.
3. Tendrá acceso a los datos personales y procesos de tratamiento.
4. Cuando vea una mínima vulneración relevante en materia de protección de datos lo debe de
comunicar inmediatamente a los órganos de administración y dirección del responsable o el
encargado del tratamiento.

53
Art. 36 del PLOPD *31, “Intervención del delegado de protección de datos en caso de reclamación
ante las autoridades de protección de datos”, determina:
1. El afectado podrá dirigirse al delegado de protección de datos de la entidad contra la que se
reclame. El delegado de protección de datos comunicará la decisión que se hubiera adoptado
en una temporalización de dos meses como máximo.
2. Si el afectado presenta la reclamación ante la Agencia de Control, estos podrán remitir la
información al delegado de protección de datos hasta que este responda en un mes.
Directrices del GT29 “16E - WP 243 rev.01” Apartado 4.

54
SUPERVISIÓN DE LA OBSERVANCIA DEL RGPD
Considerado 96, «al supervisar la observancia interna del presente Reglamento, el responsable o el
encargado del tratamiento debe contar con la ayuda» del DPD.
Algunas obligaciones de supervisión de la observancia:
• Recabar información para determinar las actividades de tratamiento.
• Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento.
• Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.
Supervisar la observancia no es responsabilidad personalmente del DPD. El RGPD a clara que el
responsable es el que esta obligado a aplicar «medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento»
(artículo 24, apartado 1).

55
PAPEL DEL DPD EN UNA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS.
El artículo 35, apartado 1, es responsabilidad del responsable no del DPD. No obstante, el DPD
puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del
tratamiento.
Asesoramiento del DPD en las siguientes cuestiones:
• Si hay que llevar a cabo o no una evaluación de impacto relativa a la protección de datos.
• Saber que metodología debe seguirse al llevar a cabo una evaluación de impacto.
• Si debe realizarse la evaluación de impacto en la propia organización o subcontratarse.
• Qué salvaguardias (medidas técnicas y organizativas) deben aplicarse para mitigar cualquier
riesgo para los derechos e intereses de los interesados.
• Si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente
o no y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardias aplicar)
son conformes con el RGPD.

56
FUNCIONES DEL DELEGADO DEPROTECCIÓN DE DATOS.
PAPEL DEL DPD EN UNA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS.
Si el responsable no esta conforme con el asesoramiento del DPD, el responsable debe de
justificarlo y dar un consejo en el documento de la evaluación de impacto . Es necesario recordar
que el artículo 24.1, estipula que
«teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como
los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas
físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a
fin de garantizar y poder demostrar que el tratamiento es conforme con el presente
Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario».

57
COOPERACIÓN CON LA AUTORIDAD DE CONTROL Y ACTUACIÓN COMO PUNTO DE CONTACTO
El artículo 39, apartado 1, letras d) y e), el DPD deberá «cooperar con la autoridad de control» y
«actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento,
incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre
cualquier otro asunto»
Para facilitar el acceso de la autoridad de control a los documentos y a la información para realizar
las tareas mencionadas en el artículo 56, con los poderes de investigación, correctivos, de
autorización y consultivos mencionados en el artículo 58, debe de actuar el DPD.
Además, este está obligado a mantener en confidencialidad el desempeño de sus funciones

58
ENFOQUE BASADO EN EL RIESGO.
El artículo 39, apartado 2, habla de que el DPD desempeña
funciones «prestando la debida atención a los riesgos
asociados a las operaciones de tratamiento, teniendo en
cuenta la naturaleza, el alcance, el contexto y fines del
tratamiento».
Los DPD deben priorizar sus actividad, pero pueden asesorar
al responsable del tratamiento sobre que metodología usar
en una evaluación de impacto

59
PAPEL DEL DPD EN EL MANTENIMIENTO DE REGISTROS
El artículo 30, apartado 1 y 2, el encargado de llevar «un registro de las actividades de tratamiento
efectuadas bajo su responsabilidad» o a mantener «un registro de todas las categorías de
actividades de tratamiento efectuadas por cuenta de un responsable», es el responsable no el DPD.
En la práctica los DPD elaboran inventarios y mantienen un registro de las operaciones de
tratamiento Este registro es una herramienta que permite al DPD realizar sus funciones de
observancia a las normas, e información, y al asesoramiento al responsable o encargado del
tratamiento.

60
DPD EN LAS ADMINISTRACIONES PÚBLICAS
La posición del delegado de protección de datos en las Administraciones Públicas (AAPP), se
designa un DPD en el que el tratamiento de una autoridad u organismo público (art. 36.1.a RGPD).
Las funciones del DPD en las AAPP, esta regulada por el RGPD.
a. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público,
se puede designar un único delegado de protección de datos para varias autoridades u
organismos.
b. El DPD podrá desarrollar su actividad a tiempo completo o parcial y formar plantilla del
responsable o del encargado.
c. La posición del DPD conlleva: la participación y uso de tiempo adecuado; recibir apoyo del
responsable o encargado, facilitando los recursos necesarios; No recibir ninguna instrucción en
lo que respecta a sus funciones; rendir cuentas directamente al más alto nivel jerárquico del
responsable o encargado.
d. El DPD es designado dependiendo de sus cualidades profesionales, en sus conocimientos
especializados y práctica de protección.

61
e. Funciones del DPD: informar y asesorar al responsable o encargado y empleados; supervisar
el cumplimiento de los dispuestos en el presente Reglamento.
f. Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y
supervisión en las siguientes áreas:
• Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad,
minimización o exactitud de los datos.
• Identificación de las bases jurídicas de los tratamientos.
• Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de
los datos Existencia de normativa sectorial que pueda determinar condiciones de tratamientos
específicos distintos de las establecidas por la normativa general de protección de datos.
• Diseño e implantación de medidas de información a los afectados por los tratamientos de
datos.
• Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de
derechos por parte de los interesados.

62
• Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
• Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos
jurídicos, que regulen la relación responsable-encargado.
• Identificación de los instrumentos de transferencia internacional de datos adecuados a las
necesidades y características de la organización y de las razones que justifiquen la transferencia.
• Diseño e implantación de políticas de protección de datos.
• Auditoría de protección de datos.
• Establecimiento y gestión de los registros de actividades de tratamiento.
• Análisis de riesgo de los tratamientos realizados.
• Implantación de las medidas de protección de datos desde el diseño y protección de datos por
defecto adecuadas a los riesgos y naturaleza de los tratamientos
• Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los
tratamientos

63
• Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos,
incluida la evaluación del riesgo para los derechos y libertades de los afectados y los
procedimientos de notificación a las autoridades de supervisión y a los afectados
• Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección
de datos
• Realización de evaluaciones de impacto sobre la protección de datos
• Relaciones con las autoridades de supervisión
• Implantación de programas de formación y sensibilización del personal en materia de
protección de datos

64
DESTITUCIÓN O SANCIÓN POR EL DESEMPEÑO DE LAS FUNCIONES DEL DPD
Las sanciones pueden ser directas o indirectas.
La RGPD no empresa el cómo, ni el cuándo puede un DPD ser destituido o sustituido por otras
personas.
«no será destituido ni sancionado por el responsable o el encargado por desempeñar sus
funciones».

65
1.6.6. CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN
Regulado en el Art. 40 del RGPD.
En los códigos de conducta, el objetivo principal del RGPD es dar importancia a los códigos de
conducta para que sirvan como herramientas. Hay algunos requisitos mínimos que se deben de
abordar para conseguir una correcta aplicación al Reglamento europeo. Los códigos de conducta
deben de ser claros:
a) El tratamiento leal y transparente.
b) Los intereses legítimos perseguidos por los responsables del tratamiento en contextos
específicos.
c) La recogida de datos personales.
d) La seudonimización de datos personales.
e) La información proporcionada al público y a los interesados.
f) El ejercicio de los derechos de los interesados.
g) La información proporcionada a los niños y la protección de éstos, así como la manera de
obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño.
h) Las medidas y procedimientos para garantizar la seguridad del tratamiento así como la
protección de datos desde el diseño y por defecto.

66
i) La notificación de violaciones de la seguridad de los datos personales a las autoridades de
control y la comunicación de dichas violaciones a los interesados.
j) La transferencia de datos personales a terceros países y organizaciones internacionales.
k) Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que
permitan resolver las controversias entre los responsables del tratamiento y los interesados
relativas al tratamiento, sin perjuicio de los derechos de los interesados.
La supervisión de códigos de conductas aprobados, están regulados en el Art. 41 del RGPD. Lo
supervisará la autoridad de control de un organismo.
El organismo podrá ser acreditado para supervisar el cumplimiento de un código de conducta si:
a. Demuestra su independencia y pericia en relación con el objeto del código.
b. Establece procedimientos que permitan evaluar la idoneidad de los responsables y
encargados correspondientes para aplicar el código.
c. Establece procedimientos y estructuras para tratar las reclamaciones relativas a infracciones
del código.

67
d. Demuestra que sus funciones y cometidos no dan lugar a conflicto de intereses.
En el Art. 38 del PLOPD *31, “Código de conductas”.
1. Serán vinculantes para quienes se adhieran a los mismos.
2. Podrán promoverse por empresas o grupo de las mismas y ser promovidos (Art 66.1 y Art 41
del RGPD)
La certificación, sello y marca esta regulado en los Art. 42 y Art 43 del RGPD.
Los Estados miembros, las Autoridades de Control, el Comité y la Comisión promoverán la creación
de los certificados en materia de protección de datos, con el fin de demostrar el cumplimiento por
parte de los responsables y encargados del tratamiento (RGPD 42.1).
La certificación tendrá carácter voluntario y disponible de manera transparente. Con un periodo de
expedición de tres años, puede ser renovada.
Este procedimiento esta regulados en los artículos 42 y 43 del RGPD, y en el artículo 39 del Proyecto
de Ley de Protección de Datos de España *31, en su artículo 4.

68
Los Organismos de Certificación acreditados por AEPD son las entidades encargadas de evaluar u
expedir las certificaciones profesionales.
• ENAC es el Organismo Nacional de Acreditación (RGPD 43.2), y la AEPD es la Autoridad de
Control que tiene la capacidad de acreditar a los Organismos de Certificación.
• Evaluados en conformidad con la ISO 16024:2012 para la certificación de personas.
• Para la certificación de productos, procesos y servicios deben contar con la evaluación en
conformidad ISO 16065:2012

69
Los organismos obtendrán la certificación si:
• Demuestran independencia y pericia en el objeto de la certificación.
• Se comprometen a respetar los criterios de certificación.
• Establecen procedimientos para la expedición, revisión periódica y retirada de certificaciones,
sellos y marcas.
• Establecen procedimientos y estructuras para tramitar reclamaciones relativas a infracciones de
la certificación por responsables/encargados, que sean transparentes para los interesados y el
público.
• Demuestran que no hay conflicto de intereses.
• La acreditación es válida por 5 años máximo, renovable en las mismas condiciones. La APD
competente o el organismo nacional las revocarán si no se cumplen las condiciones de la
acreditación o si el organismo de certificación incumple el RGPD.
• El incumplimiento de sus obligaciones es sancionable con de hasta 10 M. €.

70
La Agencia Española de Protección de Datos [AEPD], en colaboración con la Entidad Nacional de
Acreditación [ENAC], presentó el 13 de Julio de 2016 el Esquema de Certificación [Esquema] de los
Delegados de Protección de Datos [DPD], publicado en su versión final el día 2 de octubre de 2016.
Para este esquema participó un Comité de 23 Técnicos de Expertos en los que se e4ncuentran
profesionales como representantes de sectores y asociaciones profesionales, empresariales,
universidades y Administraciones Públicas.
Con ello se encuentra la “Marca de Conformidad” que identifica de manera exclusiva e inequívoca
a aquellas personas que hayan evidenciado su competencia para desempeñar las tareas del DPD. El
Esquema interviene en cuatro partes:
1. Agencia Española de Protección de Datos [AEPD]: propietaria y responsable del esquema, tiene
la responsabilidad del desarrollo y revisión.
2. Entidad Nacional de Acreditación [ENAC]: ENAC es la entidad designada por el Gobierno para
operar en España como el único Organismo Nacional de Acreditación, en aplicación del
Reglamento (CE) nº 665/2008 que regula el funcionamiento de la acreditación en Europa.
Establece los requisitos tiene de base la norma UNE-EN ISO/IEC 16024:2012 y aporta el
reconocimiento global de estas certificaciones.

71
3. Las Entidades de Certificación (EC)/Organismos de Certificación, son las entidades encargadas de
ofrecer la certificación para la categoría de DPD. Estas han tenido que ser previamente acreditadas
por la ENAC y por la AEPD.
4. Las Entidades de Formación (EF), son las encargadas de ofertar la formación siguiendo unos
requisitos previos a la certificación. Para conseguir la acreditación deben de tener un
reconocimiento de los programas de formación se hará de acuerdo con varios requisitos:
• Duración requerida en el programa definido en el Esquema.
• Método de validación mediante la superación de un examen y la metodología didáctica.
• Distribución de las horas de los programas de formación
o Tres años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en
materia de protección de datos. Formación mínima reconocida de 60 horas.
o Dos años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en
materia de protección de datos. Formación mínima reconocida de 100 horas.
o Sin justificación profesional. Formación mínima reconocida de 180 horas.
o Si no hay experiencia requerida se podrá hasta convalidar un año mediante la justificación de
méritos requeridos.

72
IMPORTANTE
La valoración de la formación y experiencia exigida en los prerrequisitos, es relativa al Reglamento
General de Protección de Datos (RGPD), será la adquirida a partir de la fecha de entrada en vigor
del citado reglamento: 25/5/2016.
La AEPD pondrá publicada un proceso y no discriminatorio de autorización de EF
La AEPD, ha creado una marca de conformidad, llamada Marca del Esquema.
La marca del Esquema AEPD-DPD, solo puede ser utilizada por Delegados de Protección de Datos
Certificados.
La pueden hacer uso la AEPD y los agentes autorizados: Entidades de Certificación Autorizadas,
ENAC y las agencias/academias de formación homologadas.
• Se usará siempre claramente asociada al nombre o logotipo del agente autorizado
• El agente podrá emplearla en documentos o soportes de tipo publicitario, dejando claro que es
únicamente para la certificación de personas como “Delegado de Protección de Datos” de la
AEPD.

73
• No puede ser utilizada por parte de personas
integrantes, trabajadores o colaboradores de
cualquiera de los agentes autorizados
• No puede ser empleada mientras dure la autorización
provisional.

Modulo I parte 7. La Responsabilidad Proactiva.

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Modulo I parte 7. La Responsabilidad Proactiva.

Similar a Modulo I parte 7. La Responsabilidad Proactiva. (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo I parte 7. La Responsabilidad Proactiva.