Hem detectat durant les darreres setmanes que varies “empreses” del sector “consultoria/formació” estan trucant indiscriminadament als nostres clients, entre altres, advertint-los de la obligació de realitzar un curs de Delegat de Protecció de Dades sota pena de sanció immediata.

Actualment estem en ple procés d’adaptació al nou Reglament General de Protecció de Dades que entrarà en vigor definitivament el 25 de maig d’aquest any 2018.

Entre les novetats que introdueix aquest nou Reglament hi ha la figura d’un Delegat de Protecció de Dades. Que quedi clar que la obligatorietat d’aquesta nova figura només correspon a:

• Organismes Públics.
• Empreses amb una activitat que requereixi la observació habitual de persones a gran escala (elaboració de perfils individuals a gran escala).
• Empreses l’activitat de les quals requereixi el tractament de dades sensibles (salut, infraccions penals o administratives, entre altres) a gran escala.

Si bé és cert que el concepte “gran escala” és molt subjectiu i encara està per determinar, anticipem que la gran majoria d’autònoms i Pymes no està obligada a designar un Delegat de Protecció de Dades sota cap concepte.

De totes maneres, aquesta nova normativa si que comportarà determinats canvis. Un d’els més importants és la desaparició del consentiment tàcit per al tractament de les dades de caràcter personal, motiu pel qual s’estan modificant algunes clàusules on es demana sempre un consentiment exprés i inequívoc per al tractament de les dades personals. Els contractes d’Encarregats de Tractament també patiran canvis.

També s’incrementen les sancions i les inspeccions, motiu pel qual és molt recomanable posar-se al dia en la matèria.

Què és un Delegat de Protecció de Dades?

El “Delegat de Protecció de Dades” o, en anglès, “Data Protection Officer” (DPO), és una nova figura, especialista en dret de protecció de dades, que es crea al costat de les figures del responsable i l’encarregat del tractament de les dades.

Què fa un Delegat de Protecció de Dades?

El Delegat de Protecció de Dades té, com a mínim, les següents funcions:

Informar i assessorar els responsables i encarregats del tractament de dades personals (i als seus empleats) de les obligacions que tenen, derivades tant de la legislació europea com de l’espanyola.

Supervisar el compliment d’aquesta legislació i de la política de protecció de dades d’una administració pública, empresa o entitat privada: assignació de responsabilitats, conscienciació i formació del personal, auditories, etc.

Oferir l’assessorament que se li demani per fer l’avaluació d’impacte d’un tractament de dades personals, quan comporti un alt risc per als drets i llibertats de les persones físiques, i supervisar després la seva aplicació.

Cooperar amb les “autoritats de control” (Agències de Protecció de Dades)

Actuar com a “punt de contacte” de les autoritats de control per a qualsevol consulta sobre el tractament de dades personals; especialment, la consulta prèvia obligatòria en els casos en què el tractament comporti un alt risc.

És una mena de “Defensor” del Ciutadà o del Client?

Els titulars, afectats o interessats poden dirigir-se al Delegat de Protecció de Dades per a totes les qüestions relatives al tractament de les seves dades personals i l’exercici dels seus drets, incloses possibles reclamacions i indemnitzacions.

Sobre “s’ha de” tenir un Delegat de Protecció de Dades?

Estan obligats a nomenar un Delegat de Protecció de Dades:

• Les administracions públiques (autoritats i organismes, excepte Tribunals)
• Empreses i altres entitats l’activitat principal consisteixi en el tractament massiu de dades personals que, per la seva naturalesa, abast o fins, requereixin una observació habitual, sistemàtica i a gran escala dels seus titulars.
• Empreses i altres entitats l’activitat principal consisteixi en el tractament a gran escala de categories de dades personals especialment protegides (article 9) i de dades relatives a condemnes i infraccions penals (article 10).

Qui “pot” tenir un Delegat de Protecció de Dades?

No estan obligats a tenir delegat de Protecció de Dades, però és convenient:

Empreses (normalment, PIMEs) i altres entitats l’activitat principal NO consisteixi en el tractament massiu de dades personals que estiguin especialment protegides o que requereixin una observació a gran escala dels seus titulars.

Quan es pot nomenar un Delegat de Protecció de Dades únic?

Les administracions públiques poden nomenar un Delegat de Protecció de Dades únic per a diverses autoritats i organismes, tenint en compte la seva estructura organitzativa i grandària.

Els grups empresarials podrà nomenar un Delegat de Protecció de Dades únic per a totes les empreses del grup, sempre que sigui fàcilment accessible des de cada establiment.

Les associacions i altres organismes que representin a empreses i entitats podran designar un delegat de Protecció de Dades únic, que podrà actuar per compte dels seus associats i representats.

Ha de formar part de la plantilla?

El Delegat de Protecció de Dades pot formar part de la plantilla d’una administració pública, una Empresa o una entitat privada, o ser un professional aliè que desenvolupi les seves funcions a través d’un contracte de serveis. En tot cas, s’ha de garantir la seva independència: no pot rebre instruccions, ni pot ser destituït ni sancionat pel que fa a l’exercici de les seves funcions.