La tecnología cambia constantemente, pero también su normativa.
Somos expertos en certificaciones CISA, CISM, CGEIT i CRISC.
Un gran equipo a tu alcance.
El pasado 6 de marzo tuvo lugar la jornada mensual de formación en el auditorio del Citilab de Cornellà. La jornada trató sobre la figura del DPO y su posición en la empresa. Bajo el título de “La Integración del DPO en la Empresa. Aspectos Clave para su Contratación” Helena Monzón y Carlos García, abogados seniors del bufete Jausas, nos introdujeron en la comprensión del nuevo rol que la RGPD nos obligará introducir, ya sea con personal interno o como servicio contratado.
La Jornada fué patrocinada por Deloitte, Auren, Prosegur, Víntegris, Andornet, OptimumTIC, BNFIX y con el suporte institucional de Coettc, COEINF, Consejo General de Economistas, IAITG, ISMS, itSMF, UAB, ATI, Telecos.cat, CCJCC, CESICAT , BQB, Andorra Telecom i l'Institut Municipal d'Informàtica Hàbitat Urbà - Ajuntament de Barcelona.
Nos hicieron una descripción detallada de la figura del DPO según el nuevo marco normativo. Explicaron sus competencias y obligaciones. Según la nueva RGPD, la figura del Delegado de Protección de Datos se convierte en una figura clave dentro de la organización a la hora de gestionar el tratamiento de datos. La nueva reglamentación no obliga a todas las organizaciones a tener un DPO, si están obligados los organismos públicos (excepto tribunales) cuando el tratamiento es a gran escala y cuando las actividades principales sean sistemáticas y de observación habitual.
Seguidamente definieron los distintos conceptos clave, como pueden ser observación habitual y sistemática, desgranando que se entiende por “habitual” y “sistemática”. Abarcaron el tema de cuando es obligada la designación de la figura del DPO.
Informaron ampliamente de las funciones de la nueva figura que definieron como garante del tratamiento, responsable de recabar información del tratamiento. Informar, asesorar y emitir recomendaciones. Introducir metodología y supervisión de implantación. Cooperación con la autoridad de control (AC) y actuación como punto de contacto. Análisis de riesgos. Naturaleza, alcance, contexto y fines del tratamiento. Enfoque selectivo. Identificación de bases jurídicas de tratamiento. Cumplimiento principios. Políticas de protección de datos.
Otro punto que se trató es el que puede crear conflictos de intereses en la función del DPO. Un punto clave es la independencia de su actividad, debiendo poder ejercerla sin restricciones y para ello se prevé una protección especial en sus relaciones laborales. La contratación laboral de DPO se realizará al amparo del Estatuto de los Trabajadores y en casos de contratación de servicios se encontrará sujeta al Código Civil y al Código de Comercio.
En temas prácticos definieron una serie de medidas que garanticen la eficacia de la actividad del DPO como puede ser la obligación de proporcionar recursos necesarios y actualizaciones formativas o el de asignar medios materiales y personales. En referencia a sus obligaciones indicaros, entre otras, participar activamente en la aplicación del principio de protección de datos "(...) por diseño y por defecto...".
Por último indicaron las particularidades de la contratación de servicios para hacer las funciones del DPO, donde la independencia del servicio debe estar bien determinada, el alcance, las obligaciones y la entrega de los informes de cumplimiento, así las condiciones de finalización del contrato.
Finalmente hubo un animado coloquio donde el conflicto de intereses despertó debate. ¿Hasta qué punto el DPO podrá ejercer esta independencia? La idea de que todo nuevo reglamento necesitará un tiempo de adaptación por todas las partes, aunque hay la impresión que estamos lejos de cumplir con la nueva RGPD.
Barcelona 20 de marzo 2018