Modulo I parte 8 Curso Proteccion de Datos

MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.7.
NORMATIVA EUROPEA CON IMPLICACIONES EN PROTECCIÓN DE DATOS (DPD,
DPO O DATA (PRIVACY OFFICER)

UNIDAD DIDÁCTICA 1.7. NORMATIVA EUROPEA CON IMPLICACIONES EN PROTECCIÓN DE DATOS (DPD, DPO O DATA
PRIVACY OFFICER)
OBJETIVOS ESPECIFICOS
 Identificar las entidades y procesos de selección, designación y evaluación del DPD
 Diferenciar los tipos de DPD de acuerdo a su carácter externo o interno; certificado no certificado
 Conocer el perfil profesional del DPD de acuerdo al Esquema Nacional de Certificación de la
Agencia Española de Protección de Datos y formación que se requiere.
 Pautar las herramientas necesarias para crear un clima de trabajo cooperativo y óptimo.

PRIVACY OFFICER)
ESTRUCTURA DIDACTICA
Introducción
1.7.1. Designación. Proceso de toma de decisión. Formalidades en el nombramiento, renovación y
cese. Análisis de conflicto de intereses.
1.7.2. Obligaciones y responsabilidades. Independencia. Identificación y reporte a dirección.
1.7.3. Procedimientos. Colaboración, autorizaciones previas, relación con los interesados y gestión de
reclamaciones.
1.7.4. Comunicación con la autoridad de protección de datos.
1.7.5. Competencia profesional. Negociación. Comunicación. Presupuestos.
1.7.6. Formación.
1.7.7. Habilidades personales, trabajo en equipo, liderazgo, gestión de equipos.

PRIVACY OFFICER)
INTRODUCCCIÓN
Los Responsables y encargados del tratamiento deben elegir al Delegado de Protección de Datos de
acuerdo a los requisitos establecidos en el RGPD o si los Estados Miembros establecen como
obligatoria su designación.
EL DPD o DPO (Data Protection Officer) garantiza el cumplimiento de la normativa de protección de
datos de las propias instituciones , función que compararte con las Autoridades de Control.(Articulo
37 al 39 y considerando 97 RGPD)

PRIVACY OFFICER)
1.7.1. DESIGNACIÓN. PROCESO DE TOMA DE DECISIÓN. FORMALIDADES EN EL NOMBRAMIENTO,
REVOCACIÓN Y CESE. ANÁLISIS DE CONFLICTO DE INTERESES
Selección y designación(Artículo 37 RGPD):
DPD será designado de acuerdo a su conocimiento en materia de Derecho y
cualificaciones/cualidades profesionales acReditadas, para cumplir con sus responsabilidad (RGPD
39) y garantizar la protección de los datos tratados (RGPD 39)
Indicado en el artículo 34 del El Proyecto de Ley de Protección de Datos de España *31, junto
con el artículo 37.5 del RGPD y los apartados 6.1 y 6.2 del Esquema

PRIVACY OFFICER)
• La plantilla del RT o ET puede estar formado por el DPD o llevar a cabo sus funciones mediante
contrato de servicios.(RGPD 37.6). Los datos DPD serán públicos y comunicados a la Autoridad de
Control por medio del Responsable y el Encargado (RGPD 37.7).
• Será evaluado por ENAC y requerido bajo un seguimiento por las Organizaciones de Certificación
de Personas, bajo el esquema de Certificaciones DPD desarrollado por AEP.

PRIVACY OFFICER)
En caso de tratarse de un DPD Certificado como órgano de Certificación se encuentra ANF
AC(Autoridad de Certificación) que acreditará y evaluará a futuros DPD Certificados.
A tener en cuenta:
El reconocimiento pública entre un DPD de Certificado y otros , lo asume la Marca de
Conformidad con la que cuenta ANF AC

PRIVACY OFFICER)
La posición del DPD en la organización según el Art.37 del RGPD, indica :
• Debe participar en le tratamiento de los datos personales de acuerdo a sus competencias en un
tiempo concreto y oportuno(RGPD 37.1).
• Los medios, formación continua, acceso a los datos personales y recursos para llevar a cabo sus
funciones deben de ser proporcionadas por la organización (RGPD 37.2).
• Ejercita sus funciones de manera autónoma (RGPD 37.3)..
• No será amonestado ni sustituido por el responsable o el encargado por llevar a cabo sus
funciones (RGPD 37.3).

PRIVACY OFFICER)
La posición del DPD en la organización según el Art.37 del RGPD, indica :
• Puede rendir cuentas al nivel más alto de jerarquía del responsable o encargado, de manera
directa.
• Los interesados pueden contactar con el Delegado de Protección de Datos.
• Sus funciones son confidenciales por lo que no se revelarán de acuerdo con el Derecho de la
Unión o de los Estados miembros (RGPD 37.5).
• Podrá realizar otras funciones y obligaciones, que o supongan un conflicto de intereses (RGPD
37.6).

PRIVACY OFFICER)
El Articulo 37.3 del RGPD, establece dos entornos para el DPD:
• DPD externos: si no supone grandes costes el RT o ET contrata a un DPD certificados.
• DPD Certificado interno: en organizaciones empresariales se cuenta con un DPD Certificado interno .
Entornos:
• El DPD como componente la plantilla del RT o ET
• El DPD como función que ofrece las organizaciones como colaborador externo

PRIVACY OFFICER)
El Articulo 37.3 del RGPD, establece los tipos de DPD de acuerdo a su carácter certificado o no:
• DPD no certificados: no cuentan con revisiones profesionales ni con el Código de Ético del Órgano
de Certificación, por lo que las reclamaciones de un DPD pueden ser complicadas de tratar ara un
RT o ET. Se presenta como una acreditación profesional de carácter subjetivo.
• DPD Certificados: acreditación del conocimiento experto como DPD Certificado, no es subjetivo.
El órgano de Certificación interviene en caso de reclamación o incumplimiento del DPD, y podrá
retirarle el certificado o suspender sus funciones temporalmente

PRIVACY OFFICER)
1.7.2. OBLIGACIONES Y RESPONSABILIDADES . INDEPENDECIA. IDENTIFICACIÓN Y REPORTE A
DIRECCIÓN.
Las funciones mínimas establecidas en el Reglamento Artículo 39 del RGPD:
• Informar y asesorar : de las obligaciones en el tratamiento de los datos establecidos por el
Reglamento a los RT o ETY además de las disposiciones de protección de datos de la UE.
• Supervisar el cumplimiento del RGPD y de otras disposiciones sobre protección de datos y
participación, sensibilización y formación de los empleados
• Asesorar en la evaluación de impacto sobre la protección de datos, si se requiere y controlar su
aplicación de conformidad (Art.35 del RGPD).
• Cooperar con la autoridad de control

PRIVACY OFFICER)
DIRECCIÓN.
Las funciones mínimas establecidas en el Reglamento Artículo 39 del RGPD:
• Actuar como punto de contacto de la autoridad de control, además de la consulta (Art. 36, ).
El DPD deberá de tener en cuenta en el tratamiento de los datos el origen consecuencias, contexto y
fines del mismo.
El DPD es un profesional cuyas funciones se señalan en el artículo 39 del Reglamento (UE)
679/2016

PRIVACY OFFICER)
DIRECCIÓN.
Esquema Nacional de Certificación de la Agencia Española de Protección de Datos, quedan
establecidos las obligaciones y responsabilidades en su apartado 6.1 donde se determina el perfil del
puesto del DPD:
a) «informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se
ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de
otras disposiciones de protección de datos de la Unión o de los Estados miembros
b) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de
protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o
del encargado del tratamiento en materia de protección de datos personales,»

PRIVACY OFFICER)
DIRECCIÓN.
puesto del DPD:
«c)supervisar la asignación de responsabilidades”
“d) supervisar la concienciación y formación del personal que participa en las operaciones de
tratamiento.”
“e) supervisar las auditorías correspondientes; “
“f) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la
protección de datos»”

PRIVACY OFFICER)
DIRECCIÓN.
puesto del DPD:
«g) supervisar su aplicación de conformidad con el artículo 35 del Reglamento;”
“h) cooperar con la autoridad de control;”
“i) actuar como punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa a que se refiere el artículo 36, y”
“ j) realizar consultas a la autoridad de control, en su caso, sobre cualquier otro asunto.»

PRIVACY OFFICER)
DIRECCIÓN.
El perfil del puesto del DPD, deberá de ser capaz de :
«a) recabar información para determinar las actividades de tratamiento”,
“b) analizar y comprobar la conformidad de las actividades de tratamiento, e”
“c) informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.”
“d) recabar información para supervisar el registro de las operaciones de tratamiento. “
“e) asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.»
“f) asesorar sobre:
• Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos
• Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos
• Si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o
con contratación externa.”

PRIVACY OFFICER)
DIRECCIÓN.
«f) asesorar sobre:
• Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier
riesgo para los derechos e intereses de los afectados.
• Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos.
• Si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son
conformes con el Reglamento.»
«g) Priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores
riesgos relacionados con la protección de datos..»

PRIVACY OFFICER)
DIRECCIÓN.
«h) Asesorar al responsable del tratamiento sobre:
• Qué metodología emplear al llevar a cabo una evaluación de impacto de la protección de datos.
• Qué áreas deben someterse a auditoría de protección de datos interna o externa.
• Qué actividades de formación internas proporcionar al personal o los directores responsables de
las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y
recursos.»

PRIVACY OFFICER)
DIRECCIÓN.
El Esquema Nacional de Certificación de la AEPD, en su apartado 6.2 se establecen las competencias
requeridas al puesto de delegado de protección de datos.
•Cumplimiento de principios: limitación de finalidad, minimización o exactitud de los datos
relacionados con el tratamiento de datos.
•Identificación de las bases jurídicas de los tratamientos.
•Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los
datos.
•Determinación de la normativa sectorial que pueda determinar condiciones de tratamiento
específicas distintas de las establecidas por la normativa general de protección de datos.

PRIVACY OFFICER)
DIRECCIÓN.
• Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
• Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de
derechos por parte de los interesados.
• Valoración de las solicitudes de los derechos de los interesados.
• Contratación de encargados de tratamiento, junto con el contenido de los contratos o actos
jurídicos que establezcan la relación responsable-encargado.
• Identificación de los instrumentos de transferencia internacional de datos adecuados a las
necesidades y características de la organización y de las razones que justifiquen la transferencia

PRIVACY OFFICER)
DIRECCIÓN.
• Diseño e implantación de políticas de protección de datos.
• Auditoría de protección de datos.
• Establecimiento y gestión de los registros de actividades de tratamiento.
• Análisis de riesgo de los tratamientos realizados.
• Implantación de las medidas de protección de datos desde el diseño y protección de datos por
defecto adecuadas a los riesgos y naturaleza de los tratamientos.
• Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los
tratamientos.

PRIVACY OFFICER)
DIRECCIÓN.
• Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida
la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de
notificación a las autoridades de supervisión y a los afectados.
• Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de
datos.
• Realización de evaluaciones de impacto sobre la protección de datos.
• Relaciones con las autoridades de supervisión.
• Implantación de programas de formación y sensibilización del personal en materia de protección
de datos.

PRIVACY OFFICER)
1.7.3. PROCEDIMIENTOS. COLABORACIÓN, AUTORIZACIONES PREVIAS, RELACIÓN CON LOS
INTERESADOS Y GESTIÓN DE RECLAMACIONES
Los interesados son informados de sus derechos por el DPD, el cuál se mantiene en contacto con los
interesados sobre el tratamiento de sus datos personales.
• En el caso de reclamación el interesado puede entregársela al DPD antes de transmitirla en la
Agencia Española de Protección de Datos (AEPD).
• El DPD tendrá dos meses para responder a la reclamación
• Si la reclamación ha sido transmitida a la AEPD, la reclamación será enviada al DPD. El DPD
contará con un mes para responder a la reclamación. Si el DPD no da respuesta a la Autoridad de
control, pasado el limite, la AEPD, tramitará la reclamación

PRIVACY OFFICER)
1.7.4. COMUNICACIÓN CON LA AUTORIDAD DE PORTECCIÓN DE DATOS.
El DPD será el intermediario entre el RT o ET y la
Agencia Española de Protección de Datos., el cual
establece las siguientes relaciones:
• El DPD se relaciona con la Autoridad de Control al
colaborar en lo referido al tratamiento de datos.
• En relación entre el DPD y la Entidad de
Certificación (EC) al participar en la solución de
reclamaciones y quejas que hayan recibido el DPD
; y colaborar en la investigación sobre infracciones
iniciadas de oficio por EC.

PRIVACY OFFICER)
1.7.4. COMUNICACIÓN CON LA AUTORIDAD DE PORTECCIÓN DE DATOS.
DPD Certificado dentro de una Entidad de Certificación:
• Dentro de la Entidad de Certificación (EC), el DPD Certificado tendrá que recopilar y registrar
todas la quejas y reclamaciones sobre sus funciones, y elaborará un informe con todas ellas
explicándolos con detalle para transmitirlo a la EC.
• El DPD Certificado debe dar acceso al registro de las quejas y reclamaciones a la Entidad de
Certificación (EC).

PRIVACY OFFICER)
1.7.5. COMPTENCIA PROFESIONAL. NEGOCIACIÓN. PRESUPUESTOS.
El DPD debe tener una acreditación como profesional sobre los conocimiento de tratamientos
de datos a un nivel elevado.
Requisitos:
La formación para ser DPD debe realizarse en una horas estipuladas, por el Esquema Nacional de
Certificación de la AEPD , que establece la experiencia profesional acreditada y valorada así
como también los conocimiento

PRIVACY OFFICER)
Nivel de conocimiento, según el esquema AEPD:
• «Formación universitaria específica o
complementaria en protección de datos o privacidad,
según Espacio Europeo de Educación Superior [EEES].
• Formación específica o complementaria, en protección
de datos o privacidad.
• Trabajo fin de curso en temas de protección de datos
o privacidad.
• Prácticas en empresas en temas de protección de
datos o privacidad.»

PRIVACY OFFICER)
Nivel de conocimiento, según el esquema AEPD:
• «Experiencia laboral sobre protección de datos o
privacidad.
• Actividad docente relacionada con la materia de
protección de datos o privacidad.
• Actividad investigadora y publicaciones en temas
de protección de datos o privacidad.
• Premios de protección de datos o privacidad.
• Certificaciones en materias de protección de
datos o privacidad.
• Otras certificaciones en materias relacionadas»

PRIVACY OFFICER)
Programa o Lista de Contenidos.
«Dominio 1
NORMATIVA GENERAL DE PROTECCIÓN DE DATOS. Cumplimiento normativo del reglamento europeo,
normativa nacional, directiva europea sobre ePrivacy. Directrices y guías del GT art.29, etc. Ponderación:
50%. «
«Dominio 2
RESPONSABILIDAD ACTIVA. Evaluación y gestión de riesgos de tratamientos de datos personales;
evaluación de impacto de protección de datos, protección de datos desde el diseño, protección de datos
por defecto, etc.. Ponderación: 30%»

PRIVACY OFFICER)
Programa o Lista de Contenidos.
«Dominio 3
TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS Y OTROS
CONOCIMIENTOS. Auditorías de seguridad, auditorías de protección de datos, etc. Ponderación: 20%..»

PRIVACY OFFICER)
Cualificación profesional.
• La cualificación profesional queda justificada bajo la experiencia laboral de 2, 3 o 5 años; y los
documentos de acreditación
• Si la experiencia en el tratamiento de datos personales de alto riesgo supone el doble de años que de
la experiencia en el tratamiento de datos personales sin alto riesgo, será más valorado.
• En el caso de que la experiencia no sea de un año completo, se valorará la experiencia que iguale o
supere los seis meses y se valorará como la mitad de la puntuación anual. Se valorará la mitad de
puntuación, si la experiencia no ha sido durante 1 años, pero es igual o superior a los 6 meses.
• Si no se alcanza la experiencia requerida se convalidarán por adicionales

PRIVACY OFFICER)
Cualificación profesional.
• La formación recibida será valorada con el doble de horas realizadas; y la formación que haya
impartido de una materia en concreto será aceptada solamente de una de las ediciones que
comparta título y contenidos.
• Sino cuenta con un certificado profesional el RT o ET valorará las cualidades personales, ética ,
profesionalidad y conocimiento

PRIVACY OFFICER)
Capacidad para llevar acabo tareas, se rige por los siguientes principios:
• Legalidad e integridad.
• Profesionalidad.
• Responsabilidad.
• Imparcialidad.
• Transparencia.
• Confidencialidad
Estos principios se basan en el Código Ético de la AEPD y al Código de Conducta de ANF AC

PRIVACY OFFICER)
Comunicación:
• El RT y ET publicará los datos de contacto del DPD y comunicar a las autoridades del nombramiento
del DPD.
• En los datos de contacto publicados aparecerá el nombre DPD, a pesar de no quedar especificado en
el RGP

PRIVACY OFFICER)
Presupuestos
• El coste de prestación del servicio y las condiciones que debe cumplir la persona certificada, deben de
informarse al cliente antes de firmar el acuerdo.
• Importante: la persona certificada debe especificar bien el servicio que el cliente contrata, de acuerdo
a las necesidades detectadas por el profesional. Teniendo en cuenta las posibles interpretaciones que
el cliente haga del servicio que se ofrece quedará especificado en un presupuesto u oferta, así como
su coste , finalidad ,etc...
• La persona certificada tiene prohibido ofrecer sus servicios por debajo de los precios establecidos ;
lo mismo ocurrirá con la prestación de servicios sin una contraprestación económica directa por
acuerdos o por otra circunstancia.

PRIVACY OFFICER)
Presupuestos
• Por lo tanto los salario deberán ser dignos. Esto denotará independencia, honestidad y exactitud
• Los ET y RT proporcionarán recursos a los DPD, para que lleve a cabo las medidas necesarias en
materia de protección de datos personales, por lo que se le concede la confianza para utilizar dichos
recursos.

PRIVACY OFFICER)
1.7.6. FORMACIÓN.
• El DPD de formarse de manera continua debido a los continuos cambios legislativos y avances
tecnológicos.
o Debe participar en seminarios especializados en la materia, para conocer las últimas novedades
• DPD Certificado tiene regulado anualmente de manera obligatoria acreditar una actividad y cada tres
años está obligado a acreditar la certificación, por lo que tiene que formarse de manera continua.

PRIVACY OFFICER)
1.7.6. FORMACIÓN.
Importante.
• El centro debe estar habilitado para emitir la acreditación.
o Es decir, el AEPD indica que las Entidades de Formación tienen que contar con un Órgano de
Certificación que permita llevar a cabo el plan de formación, y un examen de evaluación , acreditando las
horas de formación empleadas.

PRIVACY OFFICER)
1.7.6. FORMACIÓN.
Formación y especialización del personal:
Es necesario forma al personal del tratamiento de la información para prevenir riesgos relacionados con
la seguridad de los datos.
Por ello el DPD deberá formar al personal anualmente para:
• Aumentar el conocimiento
• Sensibilizar y concienciar de las consecuencias de un mal tratamiento o incumplimiento del
Reglamento

PRIVACY OFFICER)
1.7.7. HABILIDADES PERSONALES, TRABAJO EN EQUIPO, LIDERAZGO, GESTIÓN DE EQUIPOS.
El DPD debe crear un clima de trabajo cooperativo y positivo para garantizar una estructura en
materia de protección de datos personales ,correcta..
Para ello debe explicar la relevancia y responsabilidades que requiere el tratamiento de datos al
personal encomendado.
Pasos:
• Respetar y tratar de manera equilibrada tanto a los empleados como
a los directivos de una organización.
• El DPD Certificado debe emplear las conductas y éticas desarrolladas
por Códigos de la APD y Organismos de Certificación

Modulo I parte 8 Curso Proteccion de Datos

Recomendados

Recomendados

Más contenido relacionado

Similar a Modulo I parte 8 Curso Proteccion de Datos

Similar a Modulo I parte 8 Curso Proteccion de Datos (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo I parte 8 Curso Proteccion de Datos