Читать книгу La figura del Delegado de Protección de Datos (DPD) - Javier Puyol Montero - Страница 7
ОглавлениеCapítulo I
Introducción
El data protection officer (DPO por sus siglas en inglés) o delegado de protección de datos (DPD) es quien, entre otras funciones, tiene las funciones de supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, de gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales1.
La figura del DPD, fue establecida por primera vez en la República Federal de Alemania, en el contexto de la Ley Federal de Protección de Datos o “Bundesdatenschutzgesetz”, (BDSG), de 27 de enero de 1977 y su reconocimiento ha influido de manera decisiva en la inclusión de esta figura en la Directiva 95/46/CE2, con el nombre de encargado de la protección de datos personales, en la que España, a diferencia de algunos otros países de la Unión Europea, no optó expresamente por incorporarla a su ordenamiento jurídico, al menos con el carácter de obligatoria.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos no traspuso dicha figura al ordenamiento jurídico interno español, por lo que la misma fue una gran desconocida durante el periodo de vigencia de la meritada Ley Orgánica.
En el ámbito comunitario encontramos un precedente en el Reglamento 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo al DPD en el ámbito de protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
En su Considerando 32º se afirma que: “En cada institución u organismo comunitario, uno o varios responsables de la protección de datos velarán porque se aplique lo dispuesto en el presente Reglamento y asesorarán a los responsables del tratamiento en el ejercicio de sus obligaciones”.
En relación con esta figura, el Supervisor Europeo de Protección de Datos (EDPS), publicó en noviembre de 2005 el documento “Position paper on the role of Data Protection Officers in ensuring efective compliance with Regulation (EC) 45/2001”, donde se analizan cuestiones como la independencia de actuación del delegado así como sus funciones, clasificándolas en actividades destinadas a la concienciación, asesoramiento jurídico, cooperación, cumplimiento, administrativo-burocráticas y gestión de reclamaciones3.
Sin embargo, la misma ha cobrado especial realce desde el día 25 de mayo de 2018, fecha en que se produjo la efectiva aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se derogaba la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos.
Por tanto, uno de los requisitos que introduce el RGPD para garantizar su cumplimiento es la obligación de contar con la ayuda de una persona, el delegado de protección de datos, o DPD, que supervise su observancia interna cuando se trate de una autoridad u organismo público, o en el sector privado si el tratamiento lo realiza un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales4.
Debe tenerse presente que, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un DPD en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio, como, por ejemplo, hace actualmente la República Federal de Alemania al incluir y regular la figura del “Beauftragter für den Datenschutz” en la Ley Federal de Protección de Datos.
El DPD de datos será fundamentalmente el profesional encargado de garantizar el cumplimiento de la normativa de protección de datos en la organización5.
La exposición de Motivos de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales, al referirse a la figura del DPD, lo configura de la siguiente manera:
“La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento”.
La justificación del reconocimiento de la figura del DPD en el Reglamento (UE) 2016/679, se determina por Díaz Díaz6, debido a que el reto tecnológico y jurídico que representa actualmente el desarrollo, la expansión y la popularización de la red de redes, y de sus numerosas aplicaciones tecnológicas precisa necesariamente una aproximación global por su naturaleza transversal o multipropósito y su alcance internacional.
No hay duda de que asistimos a la regulación en privacidad de mayor calado para los años venideros, con nuevas reglas legales, el reconocimiento de derechos fundamentales y de principios de calidad de los datos y habilitación legítima para el tratamiento, motivada por la urgencia de una regulación estable que conforme las sociedades futuras en entornos digitalizados y de procesamiento masivo y transfronterizo de información personal.
La actual revisión de instrumentos internacionales en privacidad alcanza a todos los niveles de gobierno y organización, no sólo en Europa, sino también en entornos internacionales y sectoriales, además de corporativos.
En este sentido, el marco global de la privacidad también queda delimitado por los principios de toda sociedad democrática y respetuosa con los derechos fundamentales.
Por ello, dada su sustantividad propia, y la acción que su figura debe ejercer en aras de la preservación del derecho al habeas data de los titulares de los datos personales, su figura puede y debe ser distinguida de otros profesionales que prestan su actividad en el seno de las empresas, como pueden ser los auditores de cuentas o de las empresas de prevención de riesgos laborales.
A diferencia del auditor de cuentas, la labor del DPD consiste en garantizar que la empresa guarda confidencialidad sobre los datos personales de carácter económico, que obtiene, almacena y modifica en el desarrollo de su actividad. Del mismo modo, las empresas de prevención de riesgos se encargan de garantizar la seguridad y salud en el trabajo de los empleados de una empresa.
Al contrario que este tipo de prestadores de servicios, el DPD es la figura encargada de garantizar que la empresa solamente utiliza los datos personales de sus trabajadores en el marco de la relación laboral, y que no atenta contra su privacidad empleando sistemas especialmente invasivos como la geolocalización o la videovigilancia en el centro de trabajo7.
En este mismo sentido, su figura debe ser también claramente diferenciada de la de otros profesionales, con los que guarda un cierto parecido en la asunción de determinados roles, pero que a diferencia de ellos, desempeña y asume cometidos muy distintos (v.gr.: (i) consultores en protección de datos o en el ámbito de las tecnologías de la información o comunicación (TIC’s); (ii) CISO’s (Chief Information Securiry Officer); (iii) CPO (Chief Privacy Officer); (iv) CSO (Chief Security Officer); (v) CDO (Chief Data Officer); o, (vi) la figura del CIO (Chief Information Officer), etc.
Por el contrario, si debe tenerse presente que cada vez será más común que el puesto de DPD sea asumido dentro de su ámbito de competencias por el CO (Compliance Officer), al ser cada vez más global el papel del cumplimiento normativo dentro del ámbito de la empresa.
Martínez establece una más que interesante vinculación entre la figura y las funciones reconocidas al DPD, y los principios que deben determinar el funcionamiento de cualquier organización. Así, señala que el DPD debe asumir el cumplimiento de una serie de principios, que son los que detallan seguidamente, y que son los siguientes:
a) Debe transmitir verticalmente, desde el equipo directivo, al último de los trabajadores una idea de compromiso.
b) Debe diseñar una arquitectura de cumplimiento normativo que funcione sin fisuras. Esto obliga a comprometerse con un análisis riguroso y transparente del modelo de gestión, y su incidencia en el tratamiento de información personal.
c) Debe formar y comprometer a todo el personal, desde la dirección hasta el último de los colaboradores.
d) Debe incorporar a sus procesos los aspectos básicos de la protección de datos desde el diseño y por defecto.
Y por esto, en este contexto, la figura del DPD ocupa un papel central como catalizador del conjunto de procesos indispensables para asegurar una adecuada implementación de las exigencias del reglamento (UE) 2016/679. En la práctica, este profesional no actúa contra su realización, ni siquiera le corresponde tomar decisiones operativas. Debe empaparse del contexto, conocer los procesos de negocio, y ofrecer soluciones funcionales8.
Por tanto, se puede afirmar que el DPD tiene como rol principal el asistir y asesorar al procesador con respecto al cumplimiento de la normativo vigente en materia de protección de datos personales y privacidad y, al mismo tiempo, asegurarse de la aplicación de las disposiciones dentro de la organización. Se le exige que mantenga un registro de todas las actividades de procesamiento por la que se involucren datos personales, realizadas por dicha persona jurídica, como responsable o encargado de tratamiento. En este registro se debe incluir aquella información explicativa sobre el propósito de las operaciones de procesamiento y debe ser accesible para cualquier persona legitimada para acceder a la misma9.
El DPD puede constituir un gran revulsivo en esta tarea de aplicar la nueva normativa sobre privacidad de una manera rigurosa y eficaz, y se puede afirmar que dicha figura, llegará a constituirse como el elemento central de este nuevo marco jurídico para muchas organizaciones, facilitando el cumplimiento de las disposiciones de la normativa vigente sobre protección de datos y privacidad.
Sin embargo, debe tenerse presente que la figura del DPD no es de nueva creación10. Su origen se encuentra ya en la citada Directiva 95/46/CE, con un diferente grado de aplicación en función de los diferentes países del ámbito comunitario, en los que en unos casos ha sido, de acuerdo con la legislación nacional o interna obligatoria su implantación, en otros casos, por el contrario, era de carácter facultativa, y finalmente en otros, no ha existido, como es el caso de España.
Esta diferencia en la normativa se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE. Es decir, en la trasposición a nivel interno de la normativa comunitaria, y más concretamente la citada Directiva 95/46/CE.
Ello está en consonancia de la disparidad de normativas legales de protección de datos, que auspició la citada Directiva 95/46/CE frente al Reglamento 2016/679, ya que si bien el contenido de una y otra norma comunitaria, en lo referente a los objetivos y principios siguen siendo comunes y válidos, ello no ha impedido que con la citada Directiva la protección de los datos en el territorio de la Unión Europea se aplicara de manera fragmentada o desigual, ni que existiera la percepción de inseguridad jurídica en la opinión pública, al entender que existían, y existen con toda probabilidad riesgos importantes para la protección de datos de las personas físicas, en particular en relación con las actividades en internet o en redes sociales.
Consecuentemente con ello, y en una aproximación al régimen de la protección de datos personales, debe tenerse en cuenta las diferencias que históricamente han existido en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos entre los diferentes Estados miembros, lo que ha constreñido la libre circulación de los datos de carácter personal en el ámbito territorial europeo.
Estas diferencias han venido a constituir, una limitación o un obstáculo en el ejercicio de las actividades económicas a nivel de la Unión Europea, provocando daños evidentes en la competencia, y al mismo tiempo, impidiendo que las autoridades comunitarias y nacionales cumplieran las funciones que les incumbían sobre la base de las atribuciones legales que les confería el derecho de la Unión Europea.
Frente a ello, se trata de alzar el nuevo Reglamento (UE) 2016/679, que tiene el valor de proporcionar un marco modernizado, basado en tres principios básicos: (i) el análisis o la evaluación de riegos; (ii) las medidas de responsabilidad proactiva; y, finalmente, (iii) la accountability o la obligación del responsable o encargado del tratamiento de la rendición de cuentas acerca de los tratamientos llevados a cabo o las decisiones adoptadas en el ámbito de la protección de datos de carácter personal11.
Por ello, es necesario que se proceda a garantizar en toda la Unión Europea, que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea.
En este contexto surge de manera efectiva la figura del DPD (DPD), la cual constituye el elemento central de nuevo marco jurídico para muchas organizaciones, propiciando y facilitando el cumplimiento de las disposiciones del citado Reglamento (UE) 2016/679.
Sobre la base de este nuevo contexto normativo, se determina que en algunos casos tipificados reglamentariamente que sea obligatorio para algunos responsables y encargados del tratamiento proceder a designar un DPD.2
Así será en el caso, por ejemplo, de todas las autoridades y de las Administraciones Públicas, y ello con independencia de qué sean tratados por las mismas, y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.
Incluso en algunos casos en los que el Reglamento 2016/679 no requiera específicamente el nombramiento de un DPD, las organizaciones pueden considerar de utilidad designar un DPD de manera voluntaria. El Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE ha venido alentando a lo largo de los años la asunción por parte de estos operadores jurídicos la realización de estos esfuerzos voluntarios12.
Antes de la efectiva aplicación del Reglamento ((UE) 2016/679, el Grupo de Trabajo del artículo 29 argumentaba que el DPD es la piedra angular de la rendición de cuentas y que el nombramiento de un DPD puede facilitar el cumplimiento y, además, convertirse en una ventaja competitiva para las empresas.4 Además de facilitar el cumplimiento de numerosas obligaciones a las que vienen sujetos los responsables o encargados de tratamiento, tales como la aplicación de instrumentos de rendición de cuentas, o la de facilitar o llevar a cabo evaluaciones de impacto y auditorías de protección de datos, entre otras muchas.
No debe pasarse por alto, el importante papel que juegan los delegados de protección de datos, cuando actúan como intermediarios entre las autoridades de control y el responsable del tratamiento, o los titulares de los datos cuando formulan cualquier clase de reclamación frente a dicho responsable (ejercicio de derechos, infracciones a la normativa de protección de datos, bien sean muy graves, graves o leves), o cualquier otra circunstancia derivada de un cumplimiento irregular o ilícito de la normativa vigente en esta materia.
El nombramiento de un DPD es también obligatorio para las autoridades competentes en virtud del artículo 32 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89), y la legislación nacional de aplicación.
Las empresas están obligadas a contratar los servicios de un DPD deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia. Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello13.
En este sentido, es importante que cada organización proceda a efectuar un nombramiento formal de la figura del DPD, y que en dicho nombramiento se determine un plazo mínimo de vigencia del nombramiento del mismo, y, en paralelo que se proceda definir las causas jurídicas de manera predeterminada, que puedan conllevar la revocación de dicho nombramiento, y consecuentemente, el relevo en el ejercicio de sus funciones.
Con relación a la configuración del DPD, como un cargo externo a la organización del responsable del tratamiento, la Agencia Española de Protección de Datos ha señalado que, la función del DPD puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.
En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de un DPD cumpla todos los requisitos aplicables de la Sección 4ª del Reglamento (UE) 2016/679, siendo fundamental que nadie tenga un conflicto de intereses.
Es igualmente importante, que cada uno de estos miembros esté protegido por las disposiciones del Reglamento (UE) 2016/679, como las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD, o la destitución improcedente del miembro de la organización que realice las funciones de dicho profesional.
Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz. El Grupo de Trabajo del Artículo 29 (Comité Europeo de Protección Datos)14 ha dictaminado que, en aras de la claridad jurídica y de la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD, y designar una única persona como contacto y persona “a cargo” de cada cliente. Sería también útil, en general, especificar estos puntos en el contrato de servicios.
Este contrato de servicios debe otorgarse previamente al acceso a los datos de carácter personal por parte del DPD, y siempre por escrito, a los efectos tanto de la formalidad requerida en el propio Reglamento (UE) 2016/679, como a efectos meramente probatorios de su contenido, y de los tratamientos de datos que sobre el mismo se van a llevar a efecto.
En todo caso, dicho Contrato debe estar supeditado a los requisitos establecidos en el artículo 28 del citado Reglamento, y que básicamente son los que se consignan en el apartado 2º de dicho precepto, y que son los que se indican a continuación:
“El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
b) Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
c) Tomará todas las medidas necesarias de conformidad con el artículo 3215.
d) Respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento.
e) Asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III.
f) Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 3616, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado”.
g) A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
h) Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable”.
1 Cfr.: Concepto de Delegado de Protección de Datos. Guía Jurídica de Protección de Datos. Editorial Wolters Kluwers.
2 En el Considerando 49 de la Directiva 95/46/CE se incorpora la figura del delegado de protección de datos, cuando afirmó lo siguiente:
“Considerando que para evitar trámites administrativos improcedentes, los Estados miembros pueden establecer exenciones o simplificaciones de la notificación para los tratamientos que no atenten contra los derechos y las libertades de los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado miembro en el que se precisen sus límites; que los Estados miembros pueden igualmente disponer la exención o la simplificación cuando un encargado, nombrado por el responsable del tratamiento, se cerciore de que los tratamientos efectuados no pueden atentar contra los derechos y libertades de los interesados; que la persona encargada de la protección de los datos, sea o no empleado del responsable del tratamiento de datos, deberá ejercer sus funciones con total independencia”.
Cfr.:https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A31995L0046
3 En este sentido, DE LA VIUDA LINARES, Sara. “El Delegado de Protección de Datos”. Junta de Castilla y León. Valladolid 17 de octubre de 2018.
4 Agencia Española de Protección de Datos. Resolución de la Agencia Española de Protección de Datos por la que se aprueba la modificación del Esquema de Certificación de Delegados de Protección de Datos (Esquema AEPD – DPD).
5 SANCHEZ ORS, Carme, ha indicado sobre esta figura lo siguiente:
“Quien actúe en como delegado de protección de datos deberá ser un solucionador de todas las acciones relacionadas con el tratamiento de datos personales que se le planteen por la dirección, por los terceros con los que se relacione su organización, y por sus compañeros. En la medida en que un delegado de protección de datos consiga ser percibido como un facilitador, será buscado o esquivado por el resto de la organización. Cuando se le presente un nuevo proyecto un inicial un ‘no puede hacerse’ debe ser descartado y planteado como un ‘veamos cómo podemos hacerlo’. Así esta figura, con la colaboración de toda la organización, conseguirá que se cumpla simultáneamente con todas las obligaciones de la normativa vigente, garantizando los derechos de las personas, y con la misión y visión de su organización”.
Cfr.: SANCHEZ ORS, Carme. “El delegado de protección de datos: Guardián de la privacidad”, en “El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos. Editorial Wolters Kluwer. Madrid 2018.
6 Cfr.: DIAZ DIAZ, Efrén. “El «Data Protection Officer» (DPD) en el nuevo Reglamento General de Protección de Datos”. El Derecho.com. 25 de abril de 2016.
7 Vid. Ayuda ley y protección de datos.
https://ayudaleyprotecciondatos.es/delegado-de-proteccion-de-datos/
8 MARTÍNEZ MARTÍNEZ, RICARD. “El delegado de protección de datos”. Tratado de Protección de Datos. Dirigido por Artemi Rallo Lombarte. Editorial Tirant Lo Blanch. Valencia 2019.
9 Vid. EU GDPR COMPLIANT. ¿Qué es un DPD?
https://eugdprcompliant.com/es/que-es-un-DPD/
10 En este sentido, el Considerando 10, del Reglamento (UE) 2016/679.
11 En este sentido, el Considerando 9º, del Reglamento (UE) 2016/679.
12 Cfr.: WP 243/2016. Directrices sobre los delegados de protección de datos (DELEGADO DE PROTECCIÓN DE DATOS) del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE. Adoptadas el 13 de diciembre de 2016, y revisadas y adoptadas el 5 de abril de 2017.
En este sentido debe tenerse presente que las referencias normativas contenidas en las citadas referencias normativas contenidas en la indicada WP 243 del Grupo de Trabajo del Artículo 29, en su versión de 5 de abril de 2017, ha sido ratificada en cuanto a su contenido por el nuevo órgano comunitario que ha venido a sustituir a dicho Grupo de Trabajo, esto es el llamado “European Data Protection Board (“EDPB”)
Cfr.: wp243rev01-es.pdf
13 Cfr.: RIVERO, Marina. ¿Estás Obligado a contratar un delegado de protección de datos? Infoautónomos. El Economista. 3 de mayo de 2018.
https://infoautonomos.eleconomista.es/blog/contratar-un-delegado-de-proteccion-de-datos/
14 Cfr. Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE. WP 143.
15 Artículo 32. 1º del Reglamento (UE) 2016/679 sobre seguridad del tratamiento:
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales.
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
16 Los artículos 32 a 36 del Reglamento (UE) 679/2016, versan respectivamente sobre las siguientes materias:
a). La seguridad del tratamiento (artículo 32).
b). La notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33)
c). La comunicación de una violación de la seguridad de los datos personales al interesado (artículo 34).
d). La evaluación de impacto relativa a la protección de datos (artículo 35).
e). Y la consulta previa (artículo 36).
