La figura del delegado de protección de datos en la nueva GDPR

0
763

El análisis de riesgo y la evaluación del impacto de protección de datos entre las medidas técnicas y organizativas que deben implementar las compañías | La designación de un delegado de protección de datos será obligatoria en sectores donde los datos que se gestionan o en la forma que se procesan sean más críticos

A falta de menos de un mes para la aplicación del Reglamento General de Protección de Datos (GDPR en sus siglas en inglés), las compañías se están preparando para tenerlo todo listo de cara a esta normativa europea. Así, la responsabilidad proactiva de empresas y organismos es uno de los puntos clave para ello, es decir, deben realizar un análisis del riesgo mediante el que se obtengan las medidas a implantar junto a una posible evaluación del impacto de la protección de datos en la entidad, tal y como ha destacado la tecnológica Sothis en la charla ‘Cómo afecta la GDPR a tu negocio’ dirigida a miembros de la Asociación de la Industria Alimentaria de Castilla y León (Vitartis).

“Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece”, explicó el responsable del Departamento de Gobierno de Seguridad de la Información de Sothis Raúl Prieto, quien añadió que actuar solo cuando ya se ha producido una infracción “es insuficiente como estrategia, pues los daños pueden ser difíciles de compensar o reparar”.

Asimismo, la GDPR contempla medidas más contundentes respecto a la Ley de Protección de Datos (LOPD). Entre otras cosas, además de los derechos ARCO (acceso, rectificación, cancelación y oposición), incluye los de la portabilidad, olvido y limitación; en las organizaciones debe existir un registro de actividades de tratamiento a nivel interno que sustituye a la inscripción de ficheros que se hacía anteriormente en la Agencia Española de Protección de Datos (AEPD); el consentimiento de los usuarios a que sus datos sean tratados de una determinada manera debe ser inequívoco y explícito; y las multas, en caso de incumplimiento de la normativa, pueden alcanzar el 4% de la facturación o hasta 20 millones de euros.

La figura del DPO

Durante la charla, Prieto recalcó que la GDPR prevé en ciertos sectores la designación del llamado Delegado de Protección de Datos (DPO). “Se trata de la persona responsable de informar a la entidad sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto. Además, debe actuar como punto de contacto entre la Agencia Española de Protección de Datos (AEPD) y la organización”.

Esta figura se debe designar siempre y cuando el tratamiento de los datos se realice por parte de autoridades y organismo públicos; organizaciones que realicen un seguimiento de interesados de forma habitual y sistemática a gran escala; y organizaciones que procesen datos personales de categorías especiales a gran escala. Según la normativa, el DPO que se nombre debe contar con cualidades de distinta naturaleza, incluyendo conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos, así como habilidades de comunicación.

“Por ello, es recomendable que el DPO esté certificado, ya que la labor que desarrolla va a ser muy importante para la empresa. Como mínimo, entre sus funciones, debe informar y asesorar al responsable del tratamiento de los datos; supervisar el cumplimiento de lo dispuesto en el Reglamento; ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto sobre la protección de datos; y cooperar y ser contacto de la autoridad de control”, apuntó Prieto.

Durante la ponencia, el responsable del Departamento de Gobierno de Seguridad de la Información de Sothis también mencionó casos de empresas sancionadas por no cumplir con la debida protección de datos de los usuarios, así como la millonaria multa que se impuso a Facebook y el escándalo en el que la red social se ha visto envuelta tras la cesión y tratamiento de datos por parte de Cambridge Analytica. Los asistentes también pudieron poner en práctica un caso sobre la adecuación a la GDPR.

“La aplicación de esta normativa viene dada por la incertidumbre con la que se trabajaba hasta ahora, cuestiones tan relevantes como el procesamiento y almacenamiento de datos entre países, el nuevo tratamiento que se hace de los mismos con herramientas de Big Data o de Geolocalización, las brechas de seguridad o los nuevos escenarios de riesgo existentes. De esta manera, se trata de proteger mejor la privacidad de la ciudadanía de la Unión Europea”, ha concluido.

Para ver las noticias destacadas del día, haz click aquí.

Dejar respuesta

Please enter your comment!
Please enter your name here