Responsabilidad y certificación del Delegado de Protección de Datos en el RGPD y en la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

La certificación no será un requisito indispensable para el acceso a la profesión de DPD, será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD. Pero responsables y encargados pueden tomar en consideración otras cuestiones u otros medios para demostrar la competencia de los DPD.
Certificación del DPD
 
La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos, con el objetivo de ofrecer seguridad y fiabilidad. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación (ENAC) conforme a la norma UNE-EN ISO/IEC 17024:2012 (ISO 17024) y en el ámbito de la aplicación del Esquema de Certificación de Delegados de Protección de Datos, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados, si bien como indicábamos, la certificación no será un requisito indispensable para el acceso a la profesión de DPD, y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.
Igualmente, la AEPD ha publicado un listado de entidades de certificacion acreditadas o en proceso de acreditación para expedir certificados de DPD de conformidad con el Esquema AEPD-DPD.
 
El certificado implica un reconocimiento de que se tienen las competencias adecuadas para el desarrollo de sus funciones de conformidad con el RGPD siempre y cuando, con carácter previo, se cumplan con los requisitos exigidos a los programas de formación, consisten en:

- Respetar la duración de la formación requerida como prerrequisito al candidato a DPD (60, 100 o 180 horas).

- Impartir la materia de acuerdo con el programa definido en el Esquema, respetando los porcentajes asignados a los tres dominios de conocimiento del programa 50%, 30% y 20%, respectivamente.

- Disponer de un método de validación de la formación mediante la superación de un examen (no basta con justificar la asistencia a la formación).

- Disponer de una metodología didáctica que incluya:

* Impartición de conocimientos teóricos,

* Realización de ejercicios prácticos 

* Desarrollo de ejercicios en grupo.

 
 
Responsabilidad
 
El DPD no es responsable personalmente en caso de incumplimiento del RGPD ni de la LOPDGDD. El RGPD establece claramente que es el responsable, o el encargado del tratamiento, quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con el RGPD (artículo 24.1 del RGPD -Responsabilidad del responsable del tratamiento-).
Por ello,cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
 
En cuanto a la realización del análisis de riesgos y los registros de las actividades de tratamiento, es obligación del responsable o del encargado del tratamiento, y no del DPD, mantener los registros de las operaciones de tratamiento y efectuar el análisis de riesgos. No obstante, nada impide que el responsable o el encargado del tratamiento asignen al DPD la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro debe considerarse una de las herramientas que permiten al DPD realizar sus funciones de supervisión de la observancia de la normativa y de información y asesoramiento al responsable o al encargado del tratamiento, pero tal y como indicamos, no es su responsabilidad u obligación realizarlo.
 
Lo mismo ocurre en el caso de la Evaluación de Impacto, que será labor del responsable, cuando sea preciso realizarla. No obstante, el delegado de protección de datos (DPD) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento "recabará el asesoramiento" del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPD la obligación de "ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35".
El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:

- si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;

- qué metodología debe seguirse al llevar a cabo una evaluación de impacto;

- si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;

- qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.

 
El cumplimiento de las normas en materia de protección de datos es por tanto responsabilidad corporativa del responsable o del encargado del tratamiento, no del DPD.

No hay versiones para este comentario

Protección de datos
Encargado del tratamiento
Delegado de protección
Análisis de riesgo
Actividades de tratamiento de datos
Responsable del tratamiento
Evaluación de impacto en protección de datos
Responsabilidad del responsable del tratamiento
Órganos de administración
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Funciones y posición del Delegado de Protección de Datos (DPD) en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Las funciones del delegado de protección de datos y su posición se regulan en los arts. 38 y 39 RGPD, así como en el artículo 36 y 37 de la nueva LOPDGDD.  Funciones del delegado de protección de datos (DPO)El análisis de las funciones del d...

  • Sanciones y medidas correctivas en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El artículo 84 del RGPD en cuanto a las sanciones establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83.Como indicamos, el artículo 84 del RG...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Delegado de Protección de Datos (DPO)

    Orden: Administrativo Fecha última revisión: 07/02/2019

    La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la...

  • Códigos de conducta en materia de protección de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Los Códigos de conducta están regulados en los artículos 40 y 41 del RGPD y en el artículo 38 de la nueva LOPDGDD.Los códigos de conducta constituyen la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a par...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados