redseguridad 076

El delegado de protección de datos en el entorno de la empresa L a aplicación del R eglamento General de Protección de Datos de la Unión Europea (RGPD) en los Estados miembros, a partir del 25 de mayo de 2018, representa un pro- fundo cambio de mentalidad para las figuras de responsable del tratamien- to (RT) y encargado del tratamiento (ET). En términos informáticos, supo- ne una especie de "reinicio" –aunque no "reseteo"–, pues no se parte de cero y hay que guardar los cambios efectuados. El RGPD constituye un reto para las empresas, que deben tener pre- sente lo que la norma comunitaria contempla vinculado con: – Los principios que deben ilumi- nar el tratamiento. – Nuevos derechos del interesado. – La implementación de las medi- das técnicas, organizativas y con- tractuales basadas en un análisis de riesgos previo. – La responsabilidad proactiva del RT. – La protección de datos desde el diseño y por defecto. – La adhesión a códigos de con- ducta y la expedición de certifica- ciones como fórmulas para acredi- tar el cumplimiento. – La notificación a la autoridad de control de las violaciones de la seguridad de los datos personales. – El incremento sustancial de la cuantía de las sanciones admi- nistrativas o el nombramiento del delegado de protección de datos (DPD), al que se dedican estas páginas. Delegado de protección de datos El DPD es una de las novedades que proporciona el RGPD. Se trata de una figura que "pivota" entre diferentes departamentos o áreas de la empresa, como pueden ser Recursos Humanos, Seguridad Corporativa, Legal, Marketing, Comercio electrónico, Financiero o Auditoría, esencialmente. El DPD se constituye como el interlocutor del RT o ET con la autoridad de control (que en nuestro país es la Agencia Española de Protección de Datos), de los titulares del derecho a la protección de datos o interesados y de los organismos de certificación, entre otros. El nombramiento del DPD no tiene carácter de obligatorio para todos los RT y ET, pues el RGPD acota la designación para aquellas empre- sas cuyas "actividades principales consistan en operaciones de trata- miento que, en razón de su natura- leza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o [...] en el tratamiento a gran escala de categorías de datos personales con arreglo al artículo 9 y de datos relati- vos a condenas e infracciones pena- les a que se refiere el artículo 10". De acuerdo con el Art. 37.2, su nombramiento también es precep- tivo, cuando el tratamiento lo aco- meta "una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su fun- ción judicial". Sin embargo, el RGPD comprende la posibilidad del nom- bramiento del DPD con carácter voluntario en situaciones diferentes a las indicadas anteriormente, así como una designación obligatoria cuando "el Derecho de la Unión o de los Estados miembros" lo requiera. En el caso de grupos empresariales, éstos podrán nombrar un único DPD "siempre que sea fácilmente acce- sible desde cada establecimiento". Un aspecto primordial que el RGPD plantea es garantizar la via- bilidad de esta nueva figura; si no 58 red seguridad primer trimestre 2017 especial Rafael Velázquez Consultor Legal TI, Certified Data Privacy Professional CDPP A rtículo DPD monográfico