3. ● El país de la LOPD coste cero.
● No se preocupe los DPD se cotizan a 1.500,-€ y le
preparamos para un cómodo examen.
● Tenemos una aplicación mágica donde Vd. marca
crucecitas y…
● Ayuntamientos pequeños, 1500, medianos 6000,
grandes… ya se verá.
¿Hace falta recordar que…?
4. ● Garantizamos derechos fundamentales.
● Las organizaciones sometidas a la obligación de DPD
pueden ser muy complejas.
● Ya no registramos ficheritos sino tratamientos.
● La seguridad parte de un enfoque basado en el riesgo.
● Y como después se verá “un conocimiento profundo
del Ordenamiento”.
● Certificar no debería estar al alcance de cualquiera:
El rigor de los títulos oficiales: formal y el otro.
Las oposiciones.
Los criterios de validación de conocimiento: 500 farmacias
y un software amigo no te convierten en DPO
La independencia y confiabilidad de la evaluación.
Una verdad incómoda
5. ● Accountability
Privacidad por defecto y privacidad desde el diseño.
Documentación/registro de los tratamientos.
Análisis de impacto en la privacidad.
Seguridad y análisis de riesgos.
● Otras decisiones.
Legitimación para el tratamiento.
Finalidad no incompatible.
Interés legítimo (sector pvdo).
Transparencia.
Nuevos derechos: olvido, portabilidad, limitación-bloqueo.
Códigos de conducta y certificaciones.
Directiva NIS
E-Regulation
Obligaciones del responsable y del encargado
6. ● ¿Cuándo?
a) el tratamiento lo lleve a cabo una autoridad u organismo público,
excepto los tribunales que actúen en ejercicio de su función
judicial;
b) las actividades principales del responsable o del encargado
consistan en operaciones de tratamiento que, en razón de su
naturaleza, alcance y/o fines, requieran una observación
habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado
consistan en el tratamiento a gran escala de categorías especiales
de datos personales con arreglo al artículo 9 y de datos relativos a
condenas e infracciones penales a que se refiere el artículo 10.
● Modalidades:
Interno o externo.
Grupo de empresas.
Compartido entre administraciones.
¿Necesito un DPO?
7. ● ¿Cómo se integra?
En el proceso decisorio: participa de forma adecuada y en tiempo
oportuno en todas las cuestiones relativas a la protección de datos
personales.
Con apoyo de la dirección incluida formación y reciclaje.
Independencia relativa.
Localizable por los interesados.
En contacto con la Agencia
Podrá realizar otras funciones.
9. ● Perfil:
El delegado de protección de datos será designado atendiendo
a sus cualidades profesionales y, en particular, a sus
conocimientos especializados del Derecho y la práctica en
materia de protección de datos y a su capacidad para
desempeñar las funciones indicadas en el artículo 39:
una persona con conocimientos especializados del Derecho y la
práctica en materia de protección de datos.
El nivel de conocimientos especializados necesario se debe
determinar, en particular, en función de las operaciones de
tratamiento de datos que se lleven a cabo y de la protección exigida
para los datos personales.
Posgrados Bolonia o propios
¿Certificaciones?
Capacidad para ejecutar las tareas asignadas
Experiencia previa
Certificaciones
10. ● Serán el elemento nuclear de este nuevo marco
jurídico para muchas organizaciones, lo que facilita el
cumplimiento de las disposiciones RGPD.
● No son personalmente responsables en caso de
incumplimiento.
● Debe conferírsele suficiente autonomía y recursos para
que lleve a cabo su cometido de forma efectiva.
● Debe determinarse internamente “si toca o no toca”.
● DPD voluntario: mismo estatus.
Algunas ideas centrales del GT29
11. ● Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público (artículo 2):
Tienen la consideración de Administraciones Públicas la AGE, las
Administraciones de las Comunidades Autónomas, las Entidades que
integran la Administración Local, así como los organismos públicos y
entidades de derecho público vinculados o dependientes de las
Administraciones Públicas.
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público
vinculados o dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las
Administraciones Públicas que quedarán sujetas a lo dispuesto en las
normas de esta Ley que específicamente se refieran a las mismas, en
particular a los principios previstos en el artículo 3, y en todo caso, cuando
ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por su normativa específica
y supletoriamente por las previsiones de la presente Ley.
Administraciones públicas:
12. ● El GT29 recomienda:
Organizaciones privadas que llevan a cabo tareas o
ejercen autoridad pública designen un DPD y que
Que la actividad de dicho DPD cubra también todas las
operaciones de tratamiento llevadas a cabo, incluidas las
que no están relacionadas con el desempeño de una
tarea pública o el ejercicio de una función pública (p. ej. la
gestión de una base de datos de empleados).
13. ● El número de interesados involucrados —bien como cifra concreta
o como proporción de la población correspondiente—
● El volumen de datos o el abanico de diferentes conceptos de datos
que se procesan
● La duración, o permanencia, de la actividad de tratamiento de
datos
● El alcance geográfico de la actividad de tratamiento.
● Ejemplos:
A gran escala
14. ● DPD por razones propias.
Es importante destacar que, incluso si el responsable del
tratamiento cumple los criterios para la designación
obligatoria, su encargado del tratamiento no está
necesariamente obligado a nombrar un DPD, aunque
puede ser una práctica aconsejable.
¿Qué va a suceder en las licitaciones?
Encargado
15. ● Un único DPD siempre que este sea «fácilmente accesible
desde cada establecimiento».
● El responsable del tratamiento debe garantizar que un solo
DPD pueda llevar a cabo de forma eficiente sus funciones
pese a ser responsable de varias autoridades y organismos
públicos.
● Debe estar en condiciones de comunicarse de forma eficaz con
los interesados y cooperar con las autoridades supervisoras
pertinentes:
el idioma o idiomas usados por las autoridades supervisoras y
los interesados correspondientes.
Externalizar o compartir el DPD
16. ● Disponibilidad personal de un DPD (bien físicamente
en los mismos locales como empleado, a través de una
línea directa o mediante otros medios de comunicación
seguros) es esencial para garantizar que los interesados
puedan ponerse en contacto con el DPD.
● Ojo Administración Pública:
El DPD está obligado a mantener secreto documental y
confidencialidad en relación con el desempeño de sus
tareas, de acuerdo con el Derecho de la Unión Europea o
de los Estados miembros.
¿Ejercicio de potestades públicas en la atención de
derechos/transparencia?
17. «se designará en función de su cualificación profesional y, en especial, su
conocimiento experto de la legislación y las prácticas de protección de datos
así como su capacidad de desempeñar las tareas a las que hace referencia el
artículo 39»
● Nivel de conocimiento acorde con el carácter sensible, la
complejidad y la cantidad de datos que procesa una
organización
● Deben tener conocimiento de las leyes y prácticas de protección
de datos tanto nacionales como europeas y una comprensión
profunda del Reglamento general de protección de datos.
● Conocimiento del sector empresarial y la organización.
● En el caso de una autoridad u organismo públicos, el DPD debe
tener también un conocimiento sólido de las normas y
procedimientos administrativos de la organización.
● Capacidad de desempeño de sus tareas: integridad y un nivel
elevado de ética profesional
Conocimientos y destrezas del DPD
18. ● Control del cumplimiento.
● Enfoque basado en el riesgo.
● Registro de los tratamientos.
● Análisis de impacto en la protección de datos.
Funciones