Responsabilidad y certificación del Delegado de Protección de Datos en el RGPD y en la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 05/12/2019

La certificación no será un requisito indispensable para el acceso a la profesión de DPD, será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD. Pero responsables y encargados pueden tomar en consideración otras cuestiones u otros medios para demostrar la competencia de los DPD.
 
Certificación del DPD
 
La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos, con el objetivo de ofrecer seguridad y fiabilidad. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación (ENAC) conforme a la norma UNE-EN ISO/IEC 17024:2012 (ISO 17024) y en el ámbito de la aplicación del Esquema de Certificación de Delegados de Protección de Datos, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados, si bien como indicábamos, la certificación no será un requisito indispensable para el acceso a la profesión de DPD, y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.
Igualmente, la AEPD ha publicado un listado de entidades de certificacion acreditadas o en proceso de acreditación para expedir certificados de DPD de conformidad con el Esquema AEPD-DPD.
 
Conociendo la no obligatoriedad de esta certificación, existe una corriente importante entre las propias instituciones y los interesados de que dicho certificado acredita prestigio y conocimiento en la materia lo que conlleva a una herramienta probatoria y que, al fin y al cabo, se está volviendo casi obligatoria al darse como novedad en otros organismos como la Asociación de Delegados de Protección de Datos que ha desarrollado un título de reconocimiento propio que cumple con lo previsto en el artículo 35 de la LOPD 03/2018 en el que se define las formas de acreditar el conocimiento y experiencia.
 
El certificado implica un reconocimiento de que se tienen las competencias adecuadas para el desarrollo de sus funciones de conformidad con el RGPD siempre y cuando, con carácter previo, se cumplan con los requisitos exigidos a los programas de formación, consisten en:

- Respetar la duración de la formación requerida como prerrequisito al candidato a DPD (60, 100 o 180 horas).

- Impartir la materia de acuerdo con el programa definido en el Esquema, respetando los porcentajes asignados a los tres dominios de conocimiento del programa 50%, 30% y 20%, respectivamente.

- Disponer de un método de validación de la formación mediante la superación de un examen (no basta con justificar la asistencia a la formación).

- Disponer de una metodología didáctica que incluya:

* Impartición de conocimientos teóricos,

* Realización de ejercicios prácticos 

* Desarrollo de ejercicios en grupo.

 

Responsabilidad
 
El DPD no es responsable personalmente en caso de incumplimiento del RGPD ni de la LOPDGDD. El RGPD establece claramente que es el responsable, o el encargado del tratamiento, quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con el RGPD (artículo 24.1 del RGPD -Responsabilidad del responsable del tratamiento-). Esto implica que será el responsable del tratamiento no solo responda ante posibles sanciones que se impongan al Delegado de Protección de Datos, sino que también deberá ser responsable ante indemnizaciones que sean exigidas por el interesado a consecuencia de daños y perjuicios sufridos al haberse producido una infracción del RGPD.
 
Sobre todo, cabe mencionar el artículo 70.2 de la LOPDGDD al mencionar en exclusiva la no responsabilidad del Delegado de Portección de Datos, pues conforme a este precepto "no será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título". Entonces, el Delegado de Protección de Datos que haya sido designado por la empresa y siempre que se limite a la función por la que ha sido designado y conforme a la normativa pertinente, así como al buen cumplimiento en las labores correspondientes, no se le podrá exigir responsabilidad que establezca la normativa en protección de datos. Es la misma normativa la que establece que el Delegado de Protección de Datos no podrá ser destituido ni sancionado por la empresa si en el ejercicio de sus funciones a actuado conforme a lo establecido en la normativa.
 
Es por ello que para exigir responsabilidad al Delegado de Protección de Datos ha de tener la posición de garante al ostentar las competencias de control sobre el tratamiento. Además de esta posición de sujeto garante, será requisito indispensable para exigirle responsabilidad penal que el delito perpetrado sea consecuencia de la omisión de sus funciones, directa o indirectamente.
 
En definitiva, existe un riesgo en la figura del Delegado de Protección de Datos al estar sumamente expuesto a la exigibilidad de responsabilidad. Por ello,cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
 
En cuanto a la realización del análisis de riesgos y los registros de las actividades de tratamiento, es obligación del responsable o del encargado del tratamiento, y no del DPD, mantener los registros de las operaciones de tratamiento y efectuar el análisis de riesgos. No obstante, nada impide que el responsable o el encargado del tratamiento asignen al DPD la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro debe considerarse una de las herramientas que permiten al DPD realizar sus funciones de supervisión de la observancia de la normativa y de información y asesoramiento al responsable o al encargado del tratamiento, pero tal y como indicamos, no es su responsabilidad u obligación realizarlo.
 
Lo mismo ocurre en el caso de la Evaluación de Impacto, que será labor del responsable, cuando sea preciso realizarla. No obstante, el delegado de protección de datos (DPD) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento "recabará el asesoramiento" del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPD la obligación de "ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35".
El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:

- si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;

- qué metodología debe seguirse al llevar a cabo una evaluación de impacto;

- si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;

- qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.

 
El cumplimiento de las normas en materia de protección de datos es por tanto responsabilidad corporativa del responsable o del encargado del tratamiento, no del DPD.

No hay versiones para este comentario

Protección de datos
Delegado de protección
Encargado del tratamiento
Responsable del tratamiento
Responsabilidad del responsable del tratamiento
Análisis de riesgo
Daños y perjuicios
Actividades de tratamiento de datos
Evaluación de impacto en protección de datos
Omisión
Responsabilidad penal
Órganos de administración

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Documentos relacionados
Ver más documentos relacionados
  • Funciones y posición del Delegado de Protección de Datos (DPD) en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 05/12/2019

    Las funciones del delegado de protección de datos y su posición se regulan en los arts. 38 y 39 RGPD, así como en el artículo 36 y 37 de la nueva LOPDGDD.  Funciones del delegado de protección de datos (DPO)Las funciones del Delegado de Prote...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...

  • Sanciones y medidas correctivas en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El artículo 84 del RGPD en cuanto a las sanciones establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83.Como indicamos, el artículo 84 del RG...

  • Delegado de Protección de Datos (DPO)

    Orden: Administrativo Fecha última revisión: 05/12/2019

    La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados