¿Estás obligado a incorporar un Delegado de Protección de Datos (DPO) a tu empresa? ¡Tienes un mes para cumplir con el nuevo RGPD!
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación (RGPD) se aprobó el 25 de mayo de 2016, y entra en vigor el 25 de mayo de 2018.
Sin embargo son muy pocas las empresas que manejan una gran cantidad de datos personales y han comunicado a la Agencia Española de Protección de Datos que han fichado un DPO.
La protección de los datos de carácter personal
- Cumplir este Reglamento es obligatorio
- La privacidad es un activo más para una organización
- Impacto positivo en su reputación
- Evitar posibles sanciones
La protección efectiva de los datos personales en la Unión Europea exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal. Por tanto, las compañías deben de ir adaptando sus protocolos y procedimientos a la nueva regulación sobre protección de datos de carácter personal teniendo en cuenta los grandes cambios introducidos por el nuevo Reglamento.
La figura del DPO Delegado de Protección de Datos
En primer lugar, uno de los grandes cambios para el debido cumplimiento del RGPD es la nueva figura del DPO. Las entidades, empresas, instituciones o agentes que procesen datos personales y cumplan determinados requisitos deberán designar un DPO, que podrá ser un empleado de la compañía o una empresa externa que les preste este servicio.
Éste va a adquirir un papel fundamental dentro de la Compañía, no sólo por su deber de velar por el cumplimiento de lo establecido en el Reglamento sino por el rol de cooperador y de punto de contacto con la Agencia Española de Protección de Datos. A la hora de designar al DPO, es importante que la compañía tenga en cuenta las cualidades profesionales y los conocimientos especializados en Derecho, así como, su experiencia en la práctica de protección de datos.
«Son muy pocas las empresas que, aun tratando una gran cantidad de datos personales, han comunicado a la Agencia Española de Protección de Datos la incorporación de la figura del DPO, lo que es especialmente preocupante estando a un mes de la entrada en vigor del reglamento” Yazomary García, Senior Manager de la división de consultoría de GRC (Gobierno, Riesgo y Cumplimiento) de Crowe Horwath
Accesibilidad en el tratamiento de los datos
Otro de los cambios que implica el RGPD es que las compañías deben establecer claramente el sistema de recogida, utilización, consulta de los datos de carácter personal de las personas físicas, que se recogen y se tratan dentro de su actividad empresarial. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Por lo tanto, la compañía debe facilitar la identidad del responsable (DPO) de dicho tratamiento de datos y los fines del mismo.
Alarmas ante casos de violación de seguridad de datos
- Alertar sobre la violación de seguridad de los datos personales, en un periodo máximo de 72 horas a la autoridad competente, en nuestro caso la Agencia Española de Protección de Datos de carácter personal.
- Comunicar al interesado la violación de la seguridad de los datos personales describiendo la naturaleza de la violación de los medios de seguridad, incluyendo recomendaciones para que la persona afectada pueda mitigar los efectos resultantes de ésta.