El delegat de protecció de dades (DPD) és una figura obligatòria per a organitzacions que tractin dades personals de forma intensiva o dades sensibles a gran escala. Les empreses que no estiguin obligades a designar un DPD poden implantar aquesta figura en les seves organitzacions com a suport al compliment. Entre els riscos que pot haver-hi per a la labor d’un DPD en l’elaboració d’una planificació estratègica de l’organització, el més greu seria sens dubte que aquesta no existís. L’absència d’una planificació estratègica condemnaria al DPD a moure’s per tots els racons de l’organització sense saber exactament on es pot presentar un problema o necessitar el seu assessorament.
Com ja sap, el Reglament general de protecció de dades (RGPD) estableix com a obligatòria la figura del delegat de protecció de dades (DPD) per a les organitzacions que tractin un gran volum de dades de caràcter personal o dades que siguin sensibles, i per a totes les administracions públiques.
És important conèixer que la normativa de protecció de dades ofereix un marc basat en la rendició de comptes. Els DPD com a figura obligatòria en algunes entitats, són considerats un element nuclear en el marc jurídic per facilitar el compliment de totes les disposicions vigents.
Els serveis i tasques relacionats amb el reglament europeu de dades personals, relatius al servei de delegat de protecció de dades, seran els següents:
- Informar i assessorar al responsable o a l’encarregat del tractament i als empleats que s’ocupin del tractament de les obligacions que els incumbeixen en virtut de la normativa aplicable.
- Supervisar el compliment del que es disposa en la normativa aplicable i de les polítiques del responsable o de l’encarregat del tractament en matèria de protecció de dades personals, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.
- Oferir l’assessorament que se li sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar-ne l’aplicació.
- Cooperar amb l’autoritat de control.
- Actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament, incloses les consultes prèvies i realitzar consultes, si escau, sobre qualsevol altre assumpte.
- El delegat de protecció de dades exercirà les seves funcions prestant la deguda atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l’abast, el context i finalitats del tractament.
- Assessorar en la metodologia que s’ha de seguir en efectuar una avaluació d’impacte de la protecció de dades.
- Assessorar si s’ha de dur a terme l’avaluació d’impacte de protecció de dades amb recursos propis o amb contractació externa.
- Indicar les salvaguardes, incloses les mesures tècniques i organitzatives, a aplicar per mitigar qualsevol risc per als drets i interessos dels afectats.
- Comprovar si s’ha dut a terme correctament o no l’avaluació d’impacte de la protecció de dades i les seves conclusions, si seguir endavant o no amb el tractament i que les salvaguardes a aplicar, són conformes amb la normativa.
- Considerar el risc associat a les operacions de tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament. Han de prioritzar les seves activitats i centrar els seus esforços en aquelles qüestions que presentin més riscos relacionats amb la protecció de les dades.
El DPD ha de participar en l’elaboració del pla de sistemes, assessorant i informant de les obligacions que imposa el Reglament general de protecció de dades (RGPD) en el tractament de dades personals. La pròpia organització ha de promoure aquesta participació al llarg de tota la planificació estratègica perquè el DPD s’involucri des de les fases més primerenques, ajudant a crear també una cultura de la protecció de dades en l’organització. Cal no oblidar que l’article 25 del RGPD inclou la protecció de dades des del disseny, i aquest disseny es pot considerar que comença des de la visió estratègica de l’organització.
Riscos que hi pot haver per a la labor d’un DPD
- Absència d’una planificació estratègica de l’organització, que condemnaria al DPD a moure’s per tots els racons de l’organització sense saber exactament on es pot presentar un problema o necessitar el seu assessorament.
- La invisibilitat: una organització en la qual no hagi estat designat oficialment, no se’l convidi regularment a les reunions directives, o no s’hi considerin les seves opinions (per exemple, no recollint en les actes els seus desacords amb les decisions adoptades). Un risc oposat a l’anterior es presentaria en una organització en la qual el DPD és conegut, convidat, i se’l satura amb informació no rellevant per al control de les dades personals, inclosa informació excessivament tècnica i amb poc temps per al seu estudi.
- El DPD que participi en l’elaboració de qualsevol pla d’aquesta naturalesa necessitarà, a més de coneixements del dret, de protecció de dades i del negoci de l’organització, d’habilitats tècniques en la matèria concreta del pla, i capacitat de comunicació. La falta de preparació del DPD en qualsevol d’aquests aspectes s’haurien de cobrir amb suport d’altres persones.
- Un últim risc que s’ha de tenir en compte és el conflicte d’interessos. El DPD pot ser extern o no tenir una dedicació exclusiva en l’organització, però si en un pla estratègic, o en algun dels projectes que s’identifiquen en ell, considera que la seva labor es pot veure afectada per les seves diferents comeses, és el moment de dir-ho i que l’organització pugui reaccionar a temps.
Font: AEPD