Newsletter

El Delegado de Protección de Datos (DPD) tiene diversas funciones asignadas por el RGPD. Con relación al Responsable del Tratamiento, asesora, informa y supervisa sobre todo aquello que tiene que ver con las obligaciones previstas en el RGPD y el resto de normativa aplicable, sobre su cumplimiento por parte de la entidad y en las relaciones con la Autoridad de Protección de Datos. En cuanto a la Autoridad de Protección de Datos, tiene que cooperar y servir de enlace. Y, finalmente, respecto a las personas afectadas, atiende el ejercicio de derechos y cualquier cuestión relacionada con el tratamiento de los datos.

Se trata de una nueva figura que al sector sanitario y social acontece obligatoria. El DPD tiene que ser nombrado y tiene que estar ubicado en el organigrama de las organizaciones. Además, no tiene que incurrir en conflicto de intereses. Es decir, no puede realizar otras tareas que impliquen tomar decisiones sobre protección de datos (por ejemplo, no es compatible con funciones de director gerente, jefe de Recursos Humanos, director económico-financiero o director de informática). Así mismo, hay que concretar sus funciones y responsabilidades, y se tienen que implicar en todas las cuestiones relacionadas con la protección de datos. También hay que tener presente que debe de disponer de los recursos necesarios, formarse permanentemente y actuar con independencia, reportando directamente al primer nivel ejecutivo.

Su configuración no es unívoca, pero se va definiendo en base a los siguientes criterios:

• Hace falta que tenga experiencia y conocimiento de los tratamientos de datos de la entidad y conozca la normativa de protección de datos.
• No se exige título ni acreditación para ejercer el cargo.
• A pesar de que su externalización es posible, no es nada aconsejable en las entidades del sector, atendiendo el volumen, la diversidad y la sensibilidad de los tratamientos.
• Se tiene que comunicar a la Autoridad de Protección de Datos a partir del 25 de mayo de 2018 (enlace al formulario de la Autoridad Catalana de Protección de Datos), así como a todo el personal de la organización, y tiene que ser conocido por los usuarios (es uno de los campos de los cuales se tiene que informar a partir del RGPD).

El Registro de Actividad de Tratamiento es el punto de partida en la gestión de la Protección de Datos. De acuerdo con aquello previsto en el RGPD, toda aquella actividad de tratamiento de datos que no esté recogida en un RAT no existe en términos de protección de datos. Consiste en una descripción de las actividades de tratamiento, atendiendo los contenidos exigidos en el RGPD. Su elaboración se puede abordar a partir del contenido de aquello que en su momento se informó al registrar los ficheros a las Autoridades de Protección de Datos. A estos efectos, las mencionadas Autoridades de Protección de Datos facilitan formularios on-line para recuperar los contenidos de los ficheros inscritos (enlace al formulario de la Agencia Española de Protección de Datos). Desde el Código Tipo se ha puesto a disposición de los miembros adheridos modelos de este documento.

Los RAT no se tienen que comunicar a las Autoridades de Protección de Datos (como hasta ahora pasaba con el registro de ficheros), pero tienen que estar permanentemente actualizados y son el punto de partida para acreditar que se han identificado, analizado, valorado los riesgos y que se tratan.

Una de las líneas del RGPD se orientan a establecer una especial protección a los menores de edad. En este sentido, se establecen dos criterios a tener en cuenta: el primero determina que los menores pueden dar su consentimiento para el tratamiento de sus datos a partir de los 16 años, si bien permiten que los estados reduzcan esta edad hasta los 13 años. Concretamente, la normativa estatal vigente actualmente prevé en este tema que el consentimiento se pueda facilitar a los 14 años. Pero, por otro lado, el anteproyecto en tramitación de la nueva LOPD prevé bajarlo hasta los 13 años. Así que habrá que ver cómo, finalmente, se aprueba la LOPD en este tema.

Sea como fuere, por debajo de la edad que la norma acabe fijando, las organizaciones tendrán que hacer esfuerzos (y poder acreditar que los están haciendo) para constatar la edad del menor y que el consentimiento lo ha facilitado el titular de la patria potestad o tutor, cuando así sea necesario. 

El segundo criterio a tener en cuenta hacer referencia a como tratar la obligación de transparencia en el caso de menores. Específicamente, se tienen que trasladar la información de una manera concisa, transparente, inteligible y con un fácil acceso, con un lenguaje claro y sencillo, que tiene que ser específicamente pensado para niños y niñas, si se dirige a ellos.