firma-e@firma-e.com   968 93 18 12 Blog

Reglamento Protección de Datos de la UE: hacia un Delegado de Protección de Datos (DPO) obligatorio

  • Inicio
  • Blog
  • Reglamento Protección de Datos de la UE: hacia un Delegado de Protección de Datos (DPO) obligatorio
Reglamento Protección de Datos de la UE: hacia un Delegado de Protección de Datos (DPO) obligatorio

Reglamento Protección de Datos de la UE: hacia un Delegado de Protección de Datos (DPO) obligatorio
Por: 14/01/2014 Categoría: Ciberseguridad/GRC

Aquí os dejamos un magnífico artículo de nuestros colegas de Privacidad Lógica sobre el Reglamento europeo sobre Protección de Datos.

Publicado el  por Francisco Javier Sempere:

“Probablemente, uno de los aspectos más importantes de la reforma europea de protección de datos, sea la regulación del Data Protection Officer (traducido como Delegado o Responsable de Protección de Datos), y sobre el que más se ha escrito analizando su estatus y funciones en los últimos tiempos.

Tras su configuración inicial, regulada en los artículos 35 a 38 de la Propuesta de Reglamento de Protección de Datos Personales, el texto aprobado en el seno de la Comisión LIBE, ha introducido cambios al respecto.

Lo primero que llama la atención, es cuándo esta figura debe ser obligatoria. Así, si bien parece que hay consenso en que debe existir un Data Protection Officer en las Administraciones públicas, así como cuando el tratamiento por parte del responsable o encargado consista en monitorizar al interesado, no lo hay en el otro supuesto, que en la Propuesta de Reglamento, exigía contar con un DPO cuando la empresa tuviese más de 250 trabajadores.

En este sentido, en el texto de la Comisión LIBE, esta última, la de los 250 trabajadores, ha sido sustituida por la siguiente:

“Cuando el tratamiento de datos realizado por la empresa afecte a más de 5000 interesados en un período de doce meses”

En el libro de Comentarios Prácticos a la Propuesta de Reglamento de Protección de Datos ya me refería a que la designación obligatoria no debía estar en relación con el número de trabajadores, sino con la categoría o tipología de los datos personales objeto de tratamiento:

“Por lo que se refiere al ámbito privado, la redacción actual de la Propuesta de Reglamento parte de que sea obligatorio cuando la empresa tenga 250 trabajadores o más, craso error desde mi punto de vista, ya que no habría que estar al número de empleados sino al tipo de datos de carácter personal tratados, y más en el caso español, en el que no tenemos grandes empresas, siendo el tejido empresarial mayoritariamente PYMES”.

Como vemos, se sustituye el número de trabajadores por el número de titulares de los datos objeto de tratamiento. Sin embargo, en cierta medida, lo cual es una auténtica novedad, la Comisión LIBE sí ha introducido que el DPO sea obligatorio dependiendo del tipo de datos que se traten, ya que el nuevo texto ha añadido un supuesto más de obligatoriedad.

Concretamente, “cuando las actividades del responsable o encargado consista en el tratamiento de categorías especiales de datos del artículo 9, datos de localización (geolocalización), así como el tratamiento de datos de menores y empleados a gran escala”.

Vayamos por partes para analizar este nuevo supuesto en que como digo, será obligatorio designar (o contratar a un DPO).

En primer lugar, las categorías especiales de datos del artículo 9, son los relativos al tratamiento de datos que puedan revelar la raza u origen étnico, opiniones políticas, religión o creencias filosóficas, orientación sexual o identidad de género, pertenencia a sindicatos, así como el tratamiento de datos genéticos, biométricos, salud, sexo, así como sanciones administrativas, judiciales, condenas penales, presuntos delitos o medidas de seguridad afines.

Sobre esta relación de tipos de datos que son enumerados en el citado artículo 9, conviene hacer las siguientes precesiones:

–      En relación al artículo 9 en la redacción dada por la Propuesta de Reglamento, la Comisión LIBE ha añadido nuevos supuestos. Concretamente, los referentes a creencias filosóficas, orientación sexual o identidad de género, datos biométricos, sanciones administrativas y judiciales, así como la comisión de presuntos delitos.

–      Grosso modo, la redacción actual coincide en gran medida con lo que en la LOPD se regula en los artículo 7 “Datos especialmente protegidos” y  artículo 8 “Datos de salud”.

–      Destaca la inclusión de los datos biométricos, que en principio, tienen el carácter de identificativos, pero a lo largo de todo el texto tanto de la Propuesta de Reglamento como el que ha salido aprobado en la Comisión LIBE, este tipo de datos se equiparan a los que conocemos en la LOPD como “especialmente protegidos”.

En resumen, podríamos concluir que estos cambios sobre cuándo debe existir un DPO, están orientados a que esta figura profesional se vaya consolidando, de forma que sea casi obligatorio en todos los sectores.

Termina de leer el artículo original aquí

Fuente: Privacidad Lógica

Etiquetas:

NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.