Presentación de PowerPoint - auditorscensors.com · Avantprojecte de LOPD Artículo 35....
Transcript of Presentación de PowerPoint - auditorscensors.com · Avantprojecte de LOPD Artículo 35....
ADAPTACIÓ AL REGLAMENT (UE) 2016/679 DEL
PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de
2016 relatiu a la protecció de les persones físiques en el que
respecta al tractament de dades personals i a la lliure
circulació d’aquestes dades (RGPD). LA FIGURA DEL
DELEGAT DE PROTECCIÓ DE DADES
Barcelona, 29 de gener de 2018
COL·LEGI DE CENSORS JURATS DE COMPTES DE CATALUNYA
Índex
1
I. REGULACIÓ NORMATIVA I MATERIALS RELACIONATS
II. ANTECEDENTS
III. OBLIGATORIETAT
IV. FUNCIONS
V. CARACTERÍSTIQUES
VI. MODEL DE CERTIFICACIÓ
1. REGULACIÓ NORMATIVA I MATERIALS RELACIONATS
- Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de
2016, relatiu a la protecció de les persones físiques pel que fa al
tractament de dades personals i a la lliure circulació d'aquestes dades
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legisla
cion/union_europea/reglamentos/common/pdfs/Reglamento_UE_
2016-679_Proteccion_datos_DOUE.pdf
- Avantprojecte de Llei Orgànica de Protecció de Dades de Caràcter
Personal
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blo
bheader=application%2Fpdf&blobheadername1=Content-
Disposition&blobheadervalue1=attachment%3B+filename%3DAP
LO_Proteccion_Datos_Caracter_Personal_Texto.PDF
3
1. REGULACIÓ NORMATIVA I MATERIALS RELACIONATS
- Directrius sobre les delegats de protecció de dades
WP 243, de 13 de desembre de 2016
https://www.agpd.es/portalwebAGPD/temas/reglamento/commo
n/pdf/designacion_DPD.pdf
- Delegat de protecció de dades a l’Administració Pública
https://www.agpd.es/portalwebAGPD/temas/reglamento/commo
n/pdf/Funciones_DPD_en_AAPP.pdf
- 9ª Sessió Anual Oberta 2017 Agencia Española de Protección de Datos
https://www.agpd.es/portalwebAGPD/jornadas/9_sesion_anual/c
ommon/06.Preguntas_conjuntas_ponentes.pdf
4
1I. ANTECEDENTS
La figura del delegat de protecció de dades ha estat molt debatuda durant
el procés d’aprovació del RGPD.
En determinats països de la UE aquesta figura ja estava contemplada com a
obligatòria, en d’altres era opcional i en altres com a Espanya, no es
contemplava.
La solució del legislador europeu finalment és intermèdia: es regula i esdevé
obligatori de designar en determinats supòsits concrets.
6
1II. OBLIGATORIETAT
El RGPD determina 3 supòsits en els que haurà de designar-se un
DPD de forma obligatòria:
Quan el tractament es dugui a terme per una autoritat o
organisme públic;
Quan les activitats principals del responsable/encarregat del
tractament consisteixin en operacions de processament que
requereixin un control periòdic, habitual i sistemàtic;
Quan les activitats principals del responsable/encarregat del
tractament consisteixin en processar dades a gran escala de
categories especials de dades o dades relatives a condemnes i
delictes penals.
8
1II. OBLIGATORIETAT
S’admet però que el que determina el RGPD no és un numerus
clausus, sinó que les diferents lleis nacionals dels Estats membres de la
UE podran exigir la designació d’un DPD en altres situacions.
A més, les entitats no obligades poden designar de forma voluntària un
DPD i així es reconeix per part de l’AEPD i WP29.
En cas de grups empresarials, pot nomenar-se un únic DPD sempre
que sigui fàcilment accessible des de cada establiment. En el cas de les
Administracions Públiques, es permet també designar a un únic DPD
per a varis organismes, tenint en compte la seva estructura
organitzativa i tamany.
S’entén que la figura del DPD és compatible amb l’existència del
responsable de seguretat que defineix el RLOPD pels fitxers de nivell
mig i alt.
9
1II. OBLIGATORIETAT
Avantprojecte de LOPD
Artículo 35. Designación de un delegado de protección de datos.
1. Los responsables y encargados del tratamiento deberán designar
un delegado de protección de datos en los supuestos previstos en
el artículo 37.1 del Reglamento (UE) 2016/679.
A tal efecto, se consideran incluidas en dichos supuestos, en todo caso,
las siguientes entidades:
a) Los colegios profesionales y sus consejos generales, regulados
por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
El Col·legi de Censors Jurats de Comptes de Catalunya és una corporació de dret públic,
amb personalitat jurídica pròpia, creada per la Llei 7/1995, de 28 de juny, aprovada pel
Parlament de Catalunya. Es regeix per la Llei 7/2006, de 31 de maig, de l’exercici de
professions titulades i dels col·legis professionals i pels seus Estatuts, declarats adequats a
la legalitat per Resolució del Departament de Justícia de la Generalitat de Catalunya de
22 de novembre de 2010.
11
1II. OBLIGATORIETAT
Avantprojecte de LOPD – Article 35 (cont)
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley
Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades
públicas y privadas.
c) Las entidades que exploten redes y presten servicios de
comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014,
de 9 de mayo, General de telecomunicaciones.
d) Los prestadores de servicios de la sociedad de la información que
recaben información de los usuarios de sus servicios, sea o no exigible el
registro previo para la obtención de los mismos.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de
junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la
Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley
20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las
entidades aseguradoras y reaseguradoras.
12
1II. OBLIGATORIETAT
Avantprojecte de LOPD – Article 35 (cont)
h) Las empresas de servicios de inversión, reguladas por el Título V del
texto refundido de la Ley del Mercado de Valores, aprobado por Real
Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a
lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico,
y los distribuidores y comercializadores de gas natural, conforme a la Ley
34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de
la solvencia patrimonial y crédito o de los ficheros comunes para la
gestión y prevención del fraude, incluyendo a los responsables de los
ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril,
de prevención del blanqueo de capitales y de la financiación del
terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección
comercial, incluyendo las de investigación comercial y de mercados,
cuando lleven a cabo tratamientos basados en las preferencias de los
afectados o realicen actividades que impliquen la elaboración de perfiles
de los mismos.
13
1II. OBLIGATORIETAT
Avantprojecte de LOPD – Article 35 (cont)
l) Los centros sanitarios legalmente obligados al mantenimiento de las
historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley
41/2002, de 14 de noviembre, básica reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y
documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de
informes comerciales acerca de personas y empresas.
n) Los operadores que desarrollen la actividad de juego a través de
canales electrónicos, informáticos, telemáticos e interactivos, conforme a
lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la
Ley 5/2014, de 4 de abril, de Seguridad Privada.
14
1V. FUNCIONS
1. Funció d’informació i assessorament normatiu.
2. Funció de supervisió del compliment normatiu – auditoria.
3. Funció de cooperació i enllaç amb l’autoritat de control.
4. Funció d’atenció als interessats.
16
1V. FUNCIONS
1. Funció d’informació i assessorament normatiu.
Deure d’informació al responsable/encarregat de tractament de
les obligacions normatives de protecció de dades que els apliquin.
Deure d’assessorar sobre l’avaluació d’impacte relativa a la
protecció de dades.
Deure d’informar i assessorar als empleats que tractin dades en
l’entitat.
17
1V. FUNCIONS
2. Funció de supervisió del compliment normatiu – auditoria.
Deure de supervisar l’adequat compliment de les normes sobre
protecció de dades a l’entitat.
Deure de revisar les polítiques internes de privacitat en l’entitat.
Deure d’assignar responsabilitats entre els membres de l’entitat,
respecte a les obligacions en matèria de protecció de dades.
Deure de realitzar accions internes de conscienciació respecte al
compliment efectiu de les normes de privacitat, incloses les de
caràcter intern.
Deure de realitzar accions formatives per al personal que
participa en operacions de tractament de dades.
Deure de supervisar les avaluacions d’impacte en la protecció de
dades, també de fer-ne seguiment.
18
1V. FUNCIONS
3. Funció de cooperació i enllaç amb l’autoritat de control.
Deure de cooperar amb l’autoritat de control de protecció de
dades.
Deure d’actuar com a persona de contacte amb l’autoritat de
control per a les qüestions relacionades amb el tractament de
dades personals.
19
1V. FUNCIONS
4. Funció d’atenció als interessats.
Deure d’atendre als interessats que ho sol·licitin.
20
1V. FUNCIONS
Algunes tasques concretes a destacar:
Registre de les activitats de tractament (RAT)
El DPD assessora sobre l’estructura del RAT, així com les regles
aplicables al seu manteniment. Posteriorment, el verifica
periòdicament per confirmar que estigui complet, sigui precís i
faciliti l’orientació al responsable del tractament en la correcció
del que sigui incorrecte.
Avaluacions d’impacte (AIPD)
El DPD assessora al responsable del tractament en
l’obligació/oportunitat de realitzar una AIPD. Posteriorment, emet
la seva opinió sobre l’anàlisi de riscos realitzada i un cop mitigats
els riscos, emet un dictamen sobre les mesures i potencials riscos
romanents.
Informe anual
Una bona pràctica de responsabilitat proactiva seria l’elaboració
d’un informe anual adreçat al més alt nivell jeràrquic.
21
1V. FUNCIONS
El rol del DPD en el desenvolupament de sistemes d’informació
https://www.agpd.es/blog/el-rol-del-dpd-en-el-desarrollo-de-sistemas-de-
informacion-ides-idPhp.php
El DPD en les Administracions Públiques
http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Funcione
s_DPD_en_AAPP.pdf
22
V. CARACTERÍSTIQUES
1. Qualificació del DPD
2. Perfil
3. Responsabilitats
4. Deure de secret
5. Posició en l’entitat
24
V. CARACTERÍSTIQUES
1. Qualificació
S’ha de designar al DPD atenent a les seves qualitats professionals i en
particular, als seus coneixements especialitzats en Dret i la pràctica en
matèria de protecció de dades i la seva capacitat per a desenvolupar les
funcions assignades.
Per determinar el nivell d’experiència, és important considerar la
sensibilitat, complexitat i volum de dades objecte de tractament.
Valorable que el professional:
Demostri experiència sobre el sector de negoci de l’organització,
en l’àmbit privat, i sobre les regles i procediments, en el sector
públic.
Tingui habilitats en comunicació, gestió de programes i gestió de
riscos, així com nocions tècniques en matèries aplicables a sectors
d’actuació que tinguin incidència en l’entitat.
25
V. CARACTERÍSTIQUES
2. Perfil
Es desprèn del RGPD que el DPD ha de ser una persona, si bé pot ser
que en algunes organitzacions estigui suportat per una Unitat de
Protecció de Dades, podent inclús haver-hi organitzacions que
diferenciïn DPDs per àmbits funcionals o territorials específics. En tots
aquests supòsits però, cal que existeixi una única persona que assumeixi
formalment la posició de DPD.
És possible que el servei s’externalitzi en una persona jurídica però cal
que s’identifiqui a una persona física dins de la persona jurídica que és la
qui prestarà el servei de DPD.
És possible que el DPD tingui dedicació no completa, podent assumir
altres tasques que no vagin en detriment de les pròpies de DPD.
26
V. CARACTERÍSTIQUES
3. Responsabilitat
No hi ha responsabilitat individual del DPD, sinó que l’entitat és la
responsable per incompliments en normativa de protecció de dades.
Sí que existeix la possibilitat de repetir al DPD la responsabilitat si es
demostra actitud negligent o defectuosa observança de les seves
funcions. L’entitat pot emprendre accions envers al DPD, com ho pot fer
a qualsevol altre empleat o contractista que es consideri responsable en
última instància de danys i perjudicis soferts (multes, prohibicions de
processament, ...).
Requerir pòlissa de responsabilitat civil en casos de DPD extern.
27
V. CARACTERÍSTIQUES
4. Deure de secret
En el RGPD es disposa que el DPD està obligat a mantenir secret o
confidencialitat en el desenvolupament de les seves funcions.
28
V. CARACTERÍSTIQUES
5. Posició en l’entitat (I)
El DPD ha de participar de forma adequada i en temps oportú en totes
les qüestions relatives a la protecció de dades.
Ser invitat a reunions relatives a la gestió de l’entitat;
Rebre informació rellevant de forma puntual a fi de manifestar la
seva opinió;
Ser consultat quan es produeixi una violació de dades o altres
incidències de seguretat.
Cal facilitar-li els recursos necessaris per a poder desenvolupar les
seves funcions, l’accés a les dades i a les operacions de tractament, i el
manteniment dels seus coneixements especialitzats.
Ajustar la dedicació a les tasques encomanades (justificar
compatibilitat amb altres rols)
Assignació de recursos econòmics, materials i humans adequats;
Comunicar la designació a tota l’organització;
Tenir l’accés necessari a totes les àrees de l’entitat de les que pot
rebre suport o informació;
Facilitar formació contínua
29
V. CARACTERÍSTIQUES
5. Posició en l’entitat (II)
Ha de tenir autonomia en el desenvolupament de les seves tasques. No
rebre cap instrucció ni ingerència.
Independència del DPD entesa com a integritat i lleialtat.
L’autonomia està estretament lligada a evitar el conflicte d’interès.
El DPD ha de reportar directament al Consell d’Administració o
òrgan equivalent.
El risc d’entrar en conflicte d’interès es pot produir si el lloc del DPD
se situa en els departaments de Seguretat, TI, RRHH o altres
departaments que prenguin decisions sobre les activitats de tractament
de dades.
No pot ser destituït ni sancionat per dur a terme les seves funcions.
El DPD ha de reportar directament al més alt nivell jeràrquic del
responsable o encarregat de tractament.
30
VI. MODEL DE CERTIFICACIÓ
L’AEPD juntament amb l’Entitat Nacional d’Acreditació (ENAC) han
publicat un model de certificació de DPD.
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/C
ertificacion/ESQUEMA_AEPD_DPD_PUBLICO_1.0.pdf
La certificació no és l’única via per a ser DPD i en cap cas és obligatori
utilitzar un determinat esquema, encara que l’AEPD ha elaborat aquest
model per a oferir un punt de referència en el mercat sobre continguts i
elements d’un mecanisme de certificació que pugui servir com a garantia
per acreditar la qualificació i capacitat professional dels candidats a DPD.
Aquest model segueix criteris de la ISO/IEC 17024:2012.
L’esquema de certificació s’estructura en 3 parts:
L’AEPD com a propietària i responsable de l’esquema,
ENAC com a encarregada dels requisits que han de complir els
certificadors,
Les pròpies entitats de certificació
L’AEPD ha impulsat la creació del Comitè d’Experts de l’Esquema de
Certificació de DPD, del que formen part associacions i entitats
representatives de varis sectors, així com les autoritats de protecció de
dades autonòmiques.
32