El papel del RPD

El papel del DPO, qué es, quién necesita uno y designa en la persona adecuada para el trabajo.

DESCARGUE NUESTRO EBOOK GRATUITO

Para Cumplimiento del GDPREn general, la mayoría de las grandes organizaciones necesitarán un responsable de la protección de datos o DPO y la mayoría de las pequeñas no.

Aquí está el detalle.

El RPD es obligatorio en los tres casos siguientes:

En primer lugar, cuando el responsable del tratamiento o del proceso, es una autoridad u organismo público o que actúa como tibio.

En segundo lugar, si las actividades de cocción del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que requieren un seguimiento regular y sistemático de los interesados a gran escala.

Y por último, si las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos. Así, hablando de datos altamente sensibles como las afiliaciones políticas de las preferencias sexuales o los datos personales relativos a las condenas penales y los delitos, de acuerdo que utiliza.

El grupo de trabajo del artículo 29, que es el que crea la Orientaciones sobre el RGPD Las actividades principales pueden considerarse como las operaciones clave necesarias para alcanzar los objetivos de los controladores o procesadores. Así que realmente estamos hablando de que el procesamiento de datos está en el centro de la capacidad de funcionamiento de la organización. Piense en un hospital o en una empresa de seguridad privada que necesita esos datos. Ahora bien, la gran escala es un término impreciso y depende del controlador de datos o procesos para determinar si se les aplica en función de factores como el número de sujetos, los registros, la geografía y la duración de la actividad.

Derechos de los consumidores del RGPD

Así que los ejemplos de monitoreo a gran escala de nuestros motores de búsqueda del hospital y la compañía de seguros, los datos del cliente. Ahora los ejemplos que no constituyen un seguimiento a gran escala o el tratamiento de datos por un médico individual o contador o el tratamiento de datos personales relativos a las condenas penales y los delitos. Por un abogado individual.

Así que realmente se pueden resumir los tres tipos de organizaciones que necesitan un OPD como servicios gubernamentales. Por lo tanto, piense en una autoridad municipal. Hay que tener en cuenta que el grupo de trabajo del artículo 29 recomienda que las empresas privadas que desempeñan funciones públicas similares nombren a un RPD. Así que no son estrictamente un departamento gubernamental o un departamento del gobierno local, pero podrían actuar como uno.

Así que piense en organizaciones como una asociación de viviendas, un proveedor de agua o un proveedor de energía. En segundo lugar, piensa en si tus datos están en el centro de tu organización y a gran escala. Así que como un banco o una empresa de análisis web o un hospital.

Si los datos son su alma y nuestra gran escala, entonces necesitará un DPO.

Y por último, si maneja muchos datos sensibles, ya sabe lo que llamamos categorías especiales de datos. Así que en estos tres casos necesitaremos un DPO.

Ahora, algunas de las cosas que hay que tener en cuenta en la DPA también pueden ser obligatorias en virtud de las leyes de los países y todos los regímenes de cumplimiento. Ahora en el Reino Unido a partir de abril de 2017, todavía tenemos que escuchar esta orientación local del país para el Reino Unido y luego el otro país de la UE, pero eso vendrá. Ahora bien, si una organización no está obligada a asignar un RPD pero lo hace de forma voluntaria que los requisitos del DPO o lo mismo que si el papel se requiere en primer lugar.

Para las organizaciones que decidan que no necesitan un RPD, el grupo de trabajo del artículo 29 recomienda un análisis interno.

Esta decisión se lleva a cabo y se documenta para demostrar que se han tenido en cuenta adecuadamente todos los factores relativos. Entonces, ¿qué hace realmente un RPD?

En primer lugar, el RPD no es responsable, así que lo diré de nuevo. El RPD no es responsable del cumplimiento del RGPD. Este deber recae en la propia organización. El RPD está ahí para ayudar a la organización a mantener el cumplimiento de la protección de datos. Deben ofrecer orientación experta, apoyo, protección de datos, evaluaciones de impacto y auditorías y actuar como intermediario entre los sujetos de los datos, las organizaciones, las unidades de negocio y la autoridad de supervisión. Ahora el DPA estará en primera línea en caso de violación de datos y debe tener un profundo conocimiento de la protección de datos de la organización. Los datos de contacto del responsable de la protección de datos también deben estar disponibles públicamente para que los interesados puedan acceder a ellos, por ejemplo, en una página de política de privacidad pública en el sitio web, y los empleados deben saber quién es el responsable de la protección de datos y cómo ponerse en contacto con él.

Eso es crítico. Ahora el día de hoy, el RPD es la autoridad interna o de orientación en materia de protección de datos para todas las actividades que impliquen datos personales. Por lo tanto, cualquier diseño o plan de arquitectura de un nuevo proyecto que incluya datos personales debe contar con la aportación del RPD de turno.

La disponibilidad del RPD para todos los equipos es esencial. Todo el mundo tiene que poder acceder a ellos. El Orientación del RPD no tiene por qué seguirse, pero si no se hace, debe documentarse explícitamente el motivo y las evaluaciones de riesgo realizadas.

El RPD puede formar parte de cualquier unidad de negocio en la que no exista un conflicto de intereses y debe tener un contacto directo con la alta dirección. Ahora bien, el volumen de trabajo requerido de un RPD variará enormemente de una organización a otra. Una empresa más pequeña puede necesitar uno o dos días de trabajo del RPD al mes. Ahora bien, sé que eso puede requerir un RPD a tiempo completo con un gran apoyo y un equipo a su cargo.

La falta de recursos en el papel de DPO sería un error muy descuidado, especialmente si el regulador llama a la puerta. Ahora bien, lo más importante es que el El DPO debe ser un verdadero experto en el GDPRYa sea un abogado formado, un gestor de cumplimiento o un consultor externo. Deben conocer el RGPD a la perfección y saber cómo cumplirlo en el mundo real. No se requieren cualificaciones específicas para un DPO. Pero además del conocimiento experto del RGPD, también debe tener fuertes habilidades y seguridad de la información, gestión de proyectos, negocios y matices de organización para las normas y procedimientos administrativos.

En resumen, el DPO es su asesor experto en el GDPR dispuestos a trabajar con equipos de proyecto, evaluando el cumplimiento. Y feliz de enfrentarse al supervisor o a la autoridad en caso de violación de los datos. El RPD tiene un amplio conjunto de competencias y depende directamente de la junta directiva.

Para ayudar a su investigación, puede descargar el Plantilla de descripción del puesto de DPO aquí.