APEP integrada en CEDPO adopta una primera posición sobre el DPO en el futuro Reglamento de la UE
La Asociación Profesional Española adopta una primera posición sobre la figura del Delegado de Protección de Datos contenida en la Propuesta de Reglamento General de Protección de Datos.
APEP junto con las asociaciones integradas en CEDPO trasladarán este documento ante las autoridades de la Unión Europea.
En el documento aprobado por las cuatro asociaciones de profesionales de la privacidad de Francia, Alemania, Holanda y España, que integran CEDPO, la organización da la bienvenida a las previsiones sobre el fortalecimiento y la armonización la función y la posición del delegado de protección de datos (DPO) ya que esta constituye una medida importante a fin de intensificar el cumplimiento interno.
No obstante, en el documento se ponen de manifiesto algunas cuestiones que CEDPO considera que deben ser tenidas en cuenta tanto desde un punto de vista general como en lo relativo a la figura del DPO.
Aspectos generales.
? CEDPO considera que la propuesta de la Comisión no explota todo el potencial de simplificación administrativa. En aquellos casos en los que se haya nombrado un DPO, en ciertos trámites se podrían remplazar algunos deberes de consulta previa por la información o notificación a la autoridad de control.
? La Propuesta debería garantizar plenamente un enfoque armonizado y uniforme que podría quebrar si no se garantiza una adecuada coordinación entre autoridades nacionales protección de datos en algunos aspectos de la regulación como el art. 34.2.b), que les permite publicar una lista de las operaciones de tratamiento que deben ser objeto de una consulta previa.
? La Propuesta faculta a la Comisión para adoptar actos de ejecución. Ésta se ha comprometido a mantener un diálogo estrecho y transparente con todas las partes interesadas a lo largo del proceso de adopción y con posterioridad a al mismo. CEDPO da la bienvenida a la iniciativa y proporcionará información a la Comisión, por ejemplo, en lo relativo a la especificación de criterios y requisitos para ordenar las actividades básicas de responsable y encargado a que se refiere el artículo 35, apartado 1, letra (c) y a los criterios para determinar las cualidades profesionales de los DPO a que se refiere el artículo 35, apartado 5.
En relación con la figura del DPO.
? CEDPO considera que los considerandos del Reglamento deben hacer hincapié en las ventajas de la designación de un DPO y subrayar su papel central para el cumplimiento, especialmente a la luz de las nuevas obligaciones de los responsables y encargados destinados a conseguir una protección de datos más eficaz, como la necesidad las evaluaciones de impacto de protección de datos, la notificación de quiebras de seguridad, la privacidad por defecto, y la formación del personal. Cuando se refiere a la promoción de la protección efectiva de los datos como una ventaja competitiva, la Comisión debería mencionar el DPO. Cabe destacar que en muchos casos los DPO son buenos para los negocios. Disponer de un delegado de protección de datos competente y cualificado no es sólo una primera señal tangible de hacer efectivo el principio de responsabilidad y rendición de cuentas, sino también un factor de imagen positiva que ayuda a crear confianza.
? En relación con las PYME, CEDPO considera que la Comisión debe hacer hincapié en que también las empresas que no tengan la obligación legal de nombrar a un DPO pueden reducir considerablemente estos riesgos y mejorar su negocio haciendo esta posibilidad opcional. Por ello, el Reglamento debería prever incentivos para que los responsables y encargados que no estando obligados a ello designen un DPO obtengan ventajas de los Estados miembros. CEDPO recomienda los siguientes incentivos:
? Cuando un tratamiento se encuentre en una lista de tratamientos sujetos a consulta previa ante Agencia, al responsable/encargado debería bastarles una simple notificación o menores formalidades cuando haya designado DPO.
? Hacer del DPO la piedra angular en las reclamaciones sobre protección de datos a una organización.
? Facilitar que en caso de quiebras de seguridad que constituyan incidentes menores no requieran notificación a las Agencias en las organizaciones con un DPO que asesore sobre la aplicación los criterios del Reglamento.
? En cuanto al umbral de 250 empleados establecido en el artículo 35 apartado 1, letra (b) para contar obligatoriamente con un DPO, CEDPO considera necesaria una cláusula de apertura que permita a los Estados miembros establecer un umbral más bajo cuando ello resulte necesario. El número de personas empleadas es sólo uno de varios factores que pueden ser tomados en cuenta.
? CEDPO cree que los límites que se establezcan deben tener en cuenta los riesgos que entraña el tratamiento y la norma debería ser aclarada a este respecto, por ello se propone un texto alternativo al del artículo 35 de la Propuesta:
El responsable o el encargado del tratamiento designarán a un delegado de protección de datos siempre que:
…
(c) el tratamiento de datos personales, en particular, en virtud de su naturaleza, su alcance y / o su finalidad, sea de alto riesgo para la protección de datos personales o la intimidad del interesado.
Además, sugerimos tener en cuenta los siguientes criterios basados ??en los riesgos que presenta la actividad.
? Finalidad de las operaciones de tratamiento.
? Sensibilidad de los datos o el tratamiento.
? Cantidad de datos objeto de tratamiento.
Debe entenderse, por ejemplo en el caso español que la intervención del DPO en estos casos, podría ser puntual o estratégica. Por ejemplo, es excesivo que una clínica privada deba contratar a tiempo completo a un DPO, sin embargo parece razonable considerar que deba ser asesorada puntualmente con la implantación de sus bases de datos, la implementación e la seguridad, la revisión de las medidas adoptadas o la solución de quiebras de seguridad.
? La cualificación profesional de un DPO debería tener en cuenta:
? un buen conocimiento de la ley de protección de datos
? conocimiento de los estándares de tecnologías de la información
? capacidad para establecer una gestión adecuada de la protección de datos, basada en un conocimiento adecuado del modelo de negocio y un conocimiento específico de las estructuras internas de la compañía internos y de las operaciones de tratamiento.
? CEDPO acoge favorablemente la flexibilidad prevista para la designación de un DPO, que puede ser interno o externo y, en su caso ocuparse de un grupo de empresas. CEDPO no comparte sin embargo la regulación del mandato del DPO, y recomienda fijar garantías adicionales para su independencia.
? El Reglamento debería incluir una declaración general que permita especificar el papel general DPO: «monitorizar con el fin de asesorar a la organización en el cumplimiento de las normas de protección de datos». Esta declaración también debe especificar que el nombramiento de un delegado de protección de datos no exime al responsable o al encargado del cumplimiento de sus obligaciones. Además, el papel de la gestión proactiva DPO no resulta suficientemente reflejada.
? Debe atribuirse al DPO un estatuto adecuado y visibilidad dentro de la organización del responsable o del encargado con el fin de tener su papel reconocido por los usuarios de los sistemas. En el caso de las entidades privadas debería garantizarse una relación funcional directa con al menos del consejo de dirección/administración o de la dirección ejecutiva.
Sobre CEDPO
La Confederación de Organizaciones Europeas de Protección de Datos (CEDPO) fue fundada en 2011. Los miembros fundadores de CEDPO son los siguientes:
AFCDP – Association Française des Correspondants à la Protection des Données à Caractère Personnel
APEP – Asociación Profesional Española de Privacidad
GDD – Gesellschaft für Datenschutz und Datensicherheit
NGFG – Nederlands Genootschap van Functionarissen voor de Gegevensbescherming
Las organizaciones mencionadas representan conjuntamente los intereses de las organizaciones de profesionales de la protección de datos y oficiales de privacidad del sector público y privado de los cuatro Estados miembros de la UE en los que desarrollan su actividad.
El objetivo principal de CEDPO es promover el importante papel del delegado de protección de datos (DPO), para una aplicación de la legislación sobre protección de datos equilibrada, práctica y eficaz. Además, CEDPO pretende contribuir a una mejor armonización de la legislación y de las prácticas de protección de datos en la Unión Europea y el Espacio Económico Europeo. Con base en las experiencias obtenidas y compartidas por las organizaciones nacionales de protección de datos, la Confederación tiene previsto iniciar y mantener una comunicación constructiva con las instituciones europeas competentes. La armonización de las prácticas de protección de datos también se logrará gracias a la interacción entre los miembros de las diferentes asociaciones nacionales.
CEDPO ha publicado un estudio comparativo de las leyes aplicables a los DPO en 14 países diferentes, que constituye un documento útil para considerar el futuro del Reglamento (DPO). Este documento está disponible en el sitio web CEDPO en www.cedpo.eu.