DPO-DPD
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Impeccionar y/o controlar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
- Impeccionar y/o controlar la asignación de responsabilidades.
- Impeccionar y/o supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento.
- Impeccionar y/o controlar las auditorías correspondientes.
- Realización y asesoramiento que se le solicite acerca de la evaluación de riesgos o de impacto relativa a la protección de datos.
- Supervisar su aplicación conforme al artículo 35 del Reglamento (RGPD).
- Cooperar en todo momento con la autoridad de control.
- Siempre debe ser el punto de enlace con la autoridad de control para cuestiones relativas al tratamiento datos personales, incluyendo la consulta previa a que se refiere el artículo 36.
- Realizar todo tipo de consultas a la autoridad de control y sobre cualquier otro asunto que afecte a su gestión.
El DPD- DPO debe realizar sus funciones prestando la máxima atención a los riesgos asociados en las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Para ello deberá ser capaz de:
- Recabar información para determinar las actividades de tratamiento.
- Analizar y comprobar la conformidad de las actividades de tratamiento.
- Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
- Recabar información para supervisar el registro de las operaciones de tratamiento.
- Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.
Su principal función es asesorar:
– Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos ( EIPD ).
– Qué metodología debe seguirse al efectuar una EIPD.
– Si se debe llevar a cabo la EIPD con recursos propios o con contratación externa.
– Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados.
– Si se ha llevado a cabo correctamente o no la EIPD y
– Si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el Reglamento.
– Priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.
Asesorar al responsable del tratamiento sobre:
– Qué metodología emplear al llevar a cabo una evaluación de impacto de la protección de datos.
– Qué áreas deben someterse a auditoría de protección de datos interna o externa.
– Qué actividades de formación internas proporcionar al personal o los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.
El DPD deberá reunir conocimientos especializados del Derecho y la práctica en materia de protección de datos. Se han identificado, en consecuencia, aquellos conocimientos, habilidades o destrezas necesarias que tiene que saber o poseer la persona a certificar para llevar a cabo cada una de las funciones propias del puesto de DPD.
Estas funciones genéricas del DPO se pueden concretar en tareas de asesoramiento, impección, supervisión entre otras, en las siguientes áreas:
- Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
- Identificación de las bases jurídicas de los tratamientos.
- Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
- Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
- Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
- Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
- Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
- Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
- Diseño e implantación de políticas de protección de datos.
- Auditoría de protección de datos.
- Establecimiento y gestión de los registros de actividades de tratamiento.
- Análisis de riesgo de los tratamientos realizados.
- Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
- Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
- Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
- Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
- Realización de evaluaciones de impacto sobre la protección de datos.
- Debe estar en contacto directo con las autoridades de control y de supervisión.
- Ejecución e implantar programas de formación y sensibilización del personal laboral en materia de protección de datos.
