ADAPTACIÓ AL REGLAMENT (UE) 2016/679 DEL

PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de

2016 relatiu a la protecció de les persones físiques en el que

respecta al tractament de dades personals i a la lliure

circulació d’aquestes dades (RGPD). LA FIGURA DEL

DELEGAT DE PROTECCIÓ DE DADES

Barcelona, 29 de gener de 2018

COL·LEGI DE CENSORS JURATS DE COMPTES DE CATALUNYA

Índex

1

I. REGULACIÓ NORMATIVA I MATERIALS RELACIONATS

II. ANTECEDENTS

III. OBLIGATORIETAT

IV. FUNCIONS

V. CARACTERÍSTIQUES

VI. MODEL DE CERTIFICACIÓ

1. REGULACIÓ NORMATIVA i

MATERIALS RELACIONATS

2

1. REGULACIÓ NORMATIVA I MATERIALS RELACIONATS

- Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de

2016, relatiu a la protecció de les persones físiques pel que fa al

tractament de dades personals i a la lliure circulació d'aquestes dades

https://www.agpd.es/portalwebAGPD/canaldocumentacion/legisla

cion/union_europea/reglamentos/common/pdfs/Reglamento_UE_

2016-679_Proteccion_datos_DOUE.pdf

- Avantprojecte de Llei Orgànica de Protecció de Dades de Caràcter

Personal

http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blo

bheader=application%2Fpdf&blobheadername1=Content-

Disposition&blobheadervalue1=attachment%3B+filename%3DAP

LO_Proteccion_Datos_Caracter_Personal_Texto.PDF

3

1. REGULACIÓ NORMATIVA I MATERIALS RELACIONATS

- Directrius sobre les delegats de protecció de dades

WP 243, de 13 de desembre de 2016

https://www.agpd.es/portalwebAGPD/temas/reglamento/commo

n/pdf/designacion_DPD.pdf

- Delegat de protecció de dades a l’Administració Pública

https://www.agpd.es/portalwebAGPD/temas/reglamento/commo

n/pdf/Funciones_DPD_en_AAPP.pdf

- 9ª Sessió Anual Oberta 2017 Agencia Española de Protección de Datos

https://www.agpd.es/portalwebAGPD/jornadas/9_sesion_anual/c

ommon/06.Preguntas_conjuntas_ponentes.pdf

4

II. ANTECEDENTS

5

1I. ANTECEDENTS

La figura del delegat de protecció de dades ha estat molt debatuda durant

el procés d’aprovació del RGPD.

En determinats països de la UE aquesta figura ja estava contemplada com a

obligatòria, en d’altres era opcional i en altres com a Espanya, no es

contemplava.

La solució del legislador europeu finalment és intermèdia: es regula i esdevé

obligatori de designar en determinats supòsits concrets.

6

III. OBLIGATORIETAT

7

1II. OBLIGATORIETAT

El RGPD determina 3 supòsits en els que haurà de designar-se un

DPD de forma obligatòria:

Quan el tractament es dugui a terme per una autoritat o

organisme públic;

Quan les activitats principals del responsable/encarregat del

tractament consisteixin en operacions de processament que

requereixin un control periòdic, habitual i sistemàtic;

Quan les activitats principals del responsable/encarregat del

tractament consisteixin en processar dades a gran escala de

categories especials de dades o dades relatives a condemnes i

delictes penals.

8

1II. OBLIGATORIETAT

S’admet però que el que determina el RGPD no és un numerus

clausus, sinó que les diferents lleis nacionals dels Estats membres de la

UE podran exigir la designació d’un DPD en altres situacions.

A més, les entitats no obligades poden designar de forma voluntària un

DPD i així es reconeix per part de l’AEPD i WP29.

En cas de grups empresarials, pot nomenar-se un únic DPD sempre

que sigui fàcilment accessible des de cada establiment. En el cas de les

Administracions Públiques, es permet també designar a un únic DPD

per a varis organismes, tenint en compte la seva estructura

organitzativa i tamany.

S’entén que la figura del DPD és compatible amb l’existència del

responsable de seguretat que defineix el RLOPD pels fitxers de nivell

mig i alt.

9

1II. OBLIGATORIETAT

10

1II. OBLIGATORIETAT

Avantprojecte de LOPD

Artículo 35. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar

un delegado de protección de datos en los supuestos previstos en

el artículo 37.1 del Reglamento (UE) 2016/679.

A tal efecto, se consideran incluidas en dichos supuestos, en todo caso,

las siguientes entidades:

a) Los colegios profesionales y sus consejos generales, regulados

por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.

El Col·legi de Censors Jurats de Comptes de Catalunya és una corporació de dret públic,

amb personalitat jurídica pròpia, creada per la Llei 7/1995, de 28 de juny, aprovada pel

Parlament de Catalunya. Es regeix per la Llei 7/2006, de 31 de maig, de l’exercici de

professions titulades i dels col·legis professionals i pels seus Estatuts, declarats adequats a

la legalitat per Resolució del Departament de Justícia de la Generalitat de Catalunya de

22 de novembre de 2010.

11

1II. OBLIGATORIETAT

Avantprojecte de LOPD – Article 35 (cont)

b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley

Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades

públicas y privadas.

c) Las entidades que exploten redes y presten servicios de

comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014,

de 9 de mayo, General de telecomunicaciones.

d) Los prestadores de servicios de la sociedad de la información que

recaben información de los usuarios de sus servicios, sea o no exigible el

registro previo para la obtención de los mismos.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de

junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito regulados por Título II de la

Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.

g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley

20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las

entidades aseguradoras y reaseguradoras.

12

1II. OBLIGATORIETAT

Avantprojecte de LOPD – Article 35 (cont)

h) Las empresas de servicios de inversión, reguladas por el Título V del

texto refundido de la Ley del Mercado de Valores, aprobado por Real

Decreto Legislativo 4/2015, de 23 de octubre.

i) Los distribuidores y comercializadores de energía eléctrica, conforme a

lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico,

y los distribuidores y comercializadores de gas natural, conforme a la Ley

34/1998, de 7 de octubre, del sector de hidrocarburos.

j) Las entidades responsables de ficheros comunes para la evaluación de

la solvencia patrimonial y crédito o de los ficheros comunes para la

gestión y prevención del fraude, incluyendo a los responsables de los

ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril,

de prevención del blanqueo de capitales y de la financiación del

terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección

comercial, incluyendo las de investigación comercial y de mercados,

cuando lleven a cabo tratamientos basados en las preferencias de los

afectados o realicen actividades que impliquen la elaboración de perfiles

de los mismos.

13

1II. OBLIGATORIETAT

Avantprojecte de LOPD – Article 35 (cont)

l) Los centros sanitarios legalmente obligados al mantenimiento de las

historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley

41/2002, de 14 de noviembre, básica reguladora de la autonomía del

paciente y de derechos y obligaciones en materia de información y

documentación clínica.

m) Las entidades que tengan como uno de sus objetos la emisión de

informes comerciales acerca de personas y empresas.

n) Los operadores que desarrollen la actividad de juego a través de

canales electrónicos, informáticos, telemáticos e interactivos, conforme a

lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.

ñ) Quienes desempeñen las actividades reguladas por el Título II de la

Ley 5/2014, de 4 de abril, de Seguridad Privada.

14

IV. FUNCIONS

15

1V. FUNCIONS

1. Funció d’informació i assessorament normatiu.

2. Funció de supervisió del compliment normatiu – auditoria.

3. Funció de cooperació i enllaç amb l’autoritat de control.

4. Funció d’atenció als interessats.

16

1V. FUNCIONS

1. Funció d’informació i assessorament normatiu.

Deure d’informació al responsable/encarregat de tractament de

les obligacions normatives de protecció de dades que els apliquin.

Deure d’assessorar sobre l’avaluació d’impacte relativa a la

protecció de dades.

Deure d’informar i assessorar als empleats que tractin dades en

l’entitat.

17

1V. FUNCIONS

2. Funció de supervisió del compliment normatiu – auditoria.

Deure de supervisar l’adequat compliment de les normes sobre

protecció de dades a l’entitat.

Deure de revisar les polítiques internes de privacitat en l’entitat.

Deure d’assignar responsabilitats entre els membres de l’entitat,

respecte a les obligacions en matèria de protecció de dades.

Deure de realitzar accions internes de conscienciació respecte al

compliment efectiu de les normes de privacitat, incloses les de

caràcter intern.

Deure de realitzar accions formatives per al personal que

participa en operacions de tractament de dades.

Deure de supervisar les avaluacions d’impacte en la protecció de

dades, també de fer-ne seguiment.

18

1V. FUNCIONS

3. Funció de cooperació i enllaç amb l’autoritat de control.

Deure de cooperar amb l’autoritat de control de protecció de

dades.

Deure d’actuar com a persona de contacte amb l’autoritat de

control per a les qüestions relacionades amb el tractament de

dades personals.

19

1V. FUNCIONS

4. Funció d’atenció als interessats.

Deure d’atendre als interessats que ho sol·licitin.

20

1V. FUNCIONS

Algunes tasques concretes a destacar:

Registre de les activitats de tractament (RAT)

El DPD assessora sobre l’estructura del RAT, així com les regles

aplicables al seu manteniment. Posteriorment, el verifica

periòdicament per confirmar que estigui complet, sigui precís i

faciliti l’orientació al responsable del tractament en la correcció

del que sigui incorrecte.

Avaluacions d’impacte (AIPD)

El DPD assessora al responsable del tractament en

l’obligació/oportunitat de realitzar una AIPD. Posteriorment, emet

la seva opinió sobre l’anàlisi de riscos realitzada i un cop mitigats

els riscos, emet un dictamen sobre les mesures i potencials riscos

romanents.

Informe anual

Una bona pràctica de responsabilitat proactiva seria l’elaboració

d’un informe anual adreçat al més alt nivell jeràrquic.

21

1V. FUNCIONS

El rol del DPD en el desenvolupament de sistemes d’informació

https://www.agpd.es/blog/el-rol-del-dpd-en-el-desarrollo-de-sistemas-de-

informacion-ides-idPhp.php

El DPD en les Administracions Públiques

http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Funcione

s_DPD_en_AAPP.pdf

22

V. CARACTERÍSTIQUES

23

V. CARACTERÍSTIQUES

1. Qualificació del DPD

2. Perfil

3. Responsabilitats

4. Deure de secret

5. Posició en l’entitat

24

V. CARACTERÍSTIQUES

1. Qualificació

S’ha de designar al DPD atenent a les seves qualitats professionals i en

particular, als seus coneixements especialitzats en Dret i la pràctica en

matèria de protecció de dades i la seva capacitat per a desenvolupar les

funcions assignades.

Per determinar el nivell d’experiència, és important considerar la

sensibilitat, complexitat i volum de dades objecte de tractament.

Valorable que el professional:

Demostri experiència sobre el sector de negoci de l’organització,

en l’àmbit privat, i sobre les regles i procediments, en el sector

públic.

Tingui habilitats en comunicació, gestió de programes i gestió de

riscos, així com nocions tècniques en matèries aplicables a sectors

d’actuació que tinguin incidència en l’entitat.

25

V. CARACTERÍSTIQUES

2. Perfil

Es desprèn del RGPD que el DPD ha de ser una persona, si bé pot ser

que en algunes organitzacions estigui suportat per una Unitat de

Protecció de Dades, podent inclús haver-hi organitzacions que

diferenciïn DPDs per àmbits funcionals o territorials específics. En tots

aquests supòsits però, cal que existeixi una única persona que assumeixi

formalment la posició de DPD.

És possible que el servei s’externalitzi en una persona jurídica però cal

que s’identifiqui a una persona física dins de la persona jurídica que és la

qui prestarà el servei de DPD.

És possible que el DPD tingui dedicació no completa, podent assumir

altres tasques que no vagin en detriment de les pròpies de DPD.

26

V. CARACTERÍSTIQUES

3. Responsabilitat

No hi ha responsabilitat individual del DPD, sinó que l’entitat és la

responsable per incompliments en normativa de protecció de dades.

Sí que existeix la possibilitat de repetir al DPD la responsabilitat si es

demostra actitud negligent o defectuosa observança de les seves

funcions. L’entitat pot emprendre accions envers al DPD, com ho pot fer

a qualsevol altre empleat o contractista que es consideri responsable en

última instància de danys i perjudicis soferts (multes, prohibicions de

processament, ...).

Requerir pòlissa de responsabilitat civil en casos de DPD extern.

27

V. CARACTERÍSTIQUES

4. Deure de secret

En el RGPD es disposa que el DPD està obligat a mantenir secret o

confidencialitat en el desenvolupament de les seves funcions.

28

V. CARACTERÍSTIQUES

5. Posició en l’entitat (I)

El DPD ha de participar de forma adequada i en temps oportú en totes

les qüestions relatives a la protecció de dades.

Ser invitat a reunions relatives a la gestió de l’entitat;

Rebre informació rellevant de forma puntual a fi de manifestar la

seva opinió;

Ser consultat quan es produeixi una violació de dades o altres

incidències de seguretat.

Cal facilitar-li els recursos necessaris per a poder desenvolupar les

seves funcions, l’accés a les dades i a les operacions de tractament, i el

manteniment dels seus coneixements especialitzats.

Ajustar la dedicació a les tasques encomanades (justificar

compatibilitat amb altres rols)

Assignació de recursos econòmics, materials i humans adequats;

Comunicar la designació a tota l’organització;

Tenir l’accés necessari a totes les àrees de l’entitat de les que pot

rebre suport o informació;

Facilitar formació contínua

29

V. CARACTERÍSTIQUES

5. Posició en l’entitat (II)

Ha de tenir autonomia en el desenvolupament de les seves tasques. No

rebre cap instrucció ni ingerència.

Independència del DPD entesa com a integritat i lleialtat.

L’autonomia està estretament lligada a evitar el conflicte d’interès.

El DPD ha de reportar directament al Consell d’Administració o

òrgan equivalent.

El risc d’entrar en conflicte d’interès es pot produir si el lloc del DPD

se situa en els departaments de Seguretat, TI, RRHH o altres

departaments que prenguin decisions sobre les activitats de tractament

de dades.

No pot ser destituït ni sancionat per dur a terme les seves funcions.

El DPD ha de reportar directament al més alt nivell jeràrquic del

responsable o encarregat de tractament.

30

VI. MODEL DE CERTIFICACIÓ

31

VI. MODEL DE CERTIFICACIÓ

L’AEPD juntament amb l’Entitat Nacional d’Acreditació (ENAC) han

publicat un model de certificació de DPD.

https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/C

ertificacion/ESQUEMA_AEPD_DPD_PUBLICO_1.0.pdf

La certificació no és l’única via per a ser DPD i en cap cas és obligatori

utilitzar un determinat esquema, encara que l’AEPD ha elaborat aquest

model per a oferir un punt de referència en el mercat sobre continguts i

elements d’un mecanisme de certificació que pugui servir com a garantia

per acreditar la qualificació i capacitat professional dels candidats a DPD.

Aquest model segueix criteris de la ISO/IEC 17024:2012.

L’esquema de certificació s’estructura en 3 parts:

L’AEPD com a propietària i responsable de l’esquema,

ENAC com a encarregada dels requisits que han de complir els

certificadors,

Les pròpies entitats de certificació

L’AEPD ha impulsat la creació del Comitè d’Experts de l’Esquema de

Certificació de DPD, del que formen part associacions i entitats

representatives de varis sectors, així com les autoritats de protecció de

dades autonòmiques.

32

VI. MODEL DE CERTIFICACIÓ

33

VI. MODEL DE CERTIFICACIÓ

34

35

Moltes gràcies per l’atenció!

36

www.faura-casas.comTelf. 902 28 28 30

Còrsega 299, 6a Planta

08008 Barcelona

FauraCasas

Faura Casas Auditors Consultors SL