¿Quién necesita de un delegado de datos?

En
la actualidad ante el desarrollo tecnológico, el crecimiento del e-commerce y
la desmonetización, existe un enorme retraso en cuanto a la seguridad
cibernética en las organizaciones y la regulación sobre la protección de datos
de los usuarios. 

Como parte de las medidas tomadas por la Unión Europea de
protección de sus ciudadanos, el pasado 26 de mayo de 2019 fue aprobado el
Reglamento de protección de Datos (RGPD), 
anexándose a la Ley orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(LOPD). 

Estas
nuevas regulaciones han formado  nuevas figuras necesarias en la
ciberseguridad y responsabilidad de las empresas, como el Delegado de protección de Datos (DPO), que analizaremos a continuación, pero primero
exponemos las principales modificaciones de RGPD.

Derechos que reconoce el RGPD

Esta
nueva normativa, reconoce los siguientes derechos a los ciudadanos:

·        
 Transparencia
e información

·        
 Consentimiento

·        
 Derecho
al olvido. Los consentimientos se pueden revocar

·        
 Derecho
a la limitación de tratamiento

·        
 Portabilidad
de los datos

·        
 Denuncias

·        
 Indemnizaciones

·       El
responsable del fichero debe establecer un canon a la contestación de
ejercicios de los derechos de acceso

Es
decir, garantiza que los ciudadanos tienen control sobre sus datos y pueden
ejercer acciones en caso de no ser utilizados como originalmente se informó,
además de la posibilidad de presentar denunciar y recibir indemnizaciones. Esta
situación lleva a que las empresas adopten mayores medidas en la seguridad
cibernética.

Principios del RGPD

El
RGPD parte de tres principios fundamentales en la protección de datos de los
usuarios:

·        
Principio
de Responsabilidad (Accountability)
. Las organizaciones deben ser capaces de demostrar
que han implementado todos los mecanismos adecuados para la protección de
datos.

·        
 Principios
de protección de datos por defecto y desde el diseño
. Las medidas de
protección de datos deben contemplarse desde el diseño de la organización.

·        
 Principio
de transparencia
. Los avisos sobre el uso de protección de datos deben ser
visibles y legibles.

Significa
que las empresas deben considerar cómo proteger los datos de los usuarios
incluso antes de iniciar operaciones, y si ya lo hacen esta debe ser una
prioridad, además de demostrar que han implementado todas las medidas posibles
para proteger a sus usuarios en caso de algún ciberataque o filtración. El
derecho a la privacidad de los datos de los usuarios es prioritario, pero ¿cómo
se va a lograr la aplicación de estos principios?

¿Qué es un delegado de protección de datos (DPO) y qué empresas lo necesitan?

La
figura del Delegado de Protección de Datos surge como parte de las medidas
contempladas en el RGPD para regular la responsabilidad de las empresas en
ciberriesgos y ciberresponsabilidadades.

¿Quién es un delegado de protección de datos (DPO) y qué hace?

Es
un especialista en el tratamiento de datos personales que asesora a las
organizaciones sobre este tema y su cumplimiento normativo. Puede ser interno,
es decir, trabajar para la organización como empleado, o externos a través de
un autónomo.

Sus
funciones son:

·        
 Informar
y asesorar sobre la normativa europea y del país.

·        
 Debe
revisar el cumplimiento de las normativas, si es necesario capacitará a los
empleados y trabajará en conjunto con la dirección

·        
 En
caso de un ataque cibernético o filtración de datos debe apoyar en la
evaluación de los daños y en la aplicación de las normativas.

·        
Antes
de implementar nuevas tecnologías el delegado deberá elaborar un estudio de
impacto con el fin de determinar si se cumple con las medidas de protección a
datos personales.

·        
 Es
el enlace con las autoridades encargadas de la protección de datos, además de
mantener contacto en caso de implementación de medidas de alto riesgo.

Cuando
a un interesado se le proporcione información sobre el tratamiento de sus datos
también se proporcionará el nombre del Delegado (DPO) ya que solo puede existir
un delegado de datos por grupo empresarial.

¿Qué organizaciones están obligadas a contar con un DPO?

Las
pequeñas empresas que no mantienen tratamiento masivo de datos no están obligadas
a contar con la figura de un Delegado, mientras que las siguientes
organizaciones si están obligadas:

·        
Autoridades
u organismos públicos, excepto los tribunales que actúen en ejercicio de su
función judicial.

·        
Las
actividades principales de la organización consistan en operaciones de
tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una
observación habitual y sistemática de interesados a gran escala, o

·        
 Las
actividades principales de la organización consistan en el tratamiento a gran
escala de categorías especiales de datos personales con arreglo al artículo 9 y
de datos relativos a condenas e infracciones penales a que se refiere el
artículo 10.

Por
lo tanto, si tienes una pequeña empresa y no utilizas de forma masiva datos
personales no estás obligado a contar con la figura de un DPO, pero si se
debería tener algún tipo de asesoría profesional sobre este tema.

En
el caso de empresas que utilicen de manera masiva datos personales es  su
responsabilidad tener la figura de un DPO.

Estas
medidas marcan un adelanto en cuanto a la protección de datos personales y
ciberseguridad, ya que se reconoce que aún cuando el usuario proporcione datos
personales, la empresa es responsable de su tratamiento y debe ser transparente
en su utilización.

Deja una respuesta