LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO. Editado por el Departamento de Publicaciones del IE. María de Molina 13, 28006 – Madrid, España. ahora: RESPONSABLE DE SEGURIDAD El Reglamento de la LOPD establece que el Responsable del Fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas de seguridad definidas en el Documento de Seguridad. El Responsable de Seguridad es la persona encargada de velar por el cumplimiento de las medidas, reglas y normas de seguridad establecidas por el Responsable del Fichero; en la mayoría de los casos, se trata del personal de los departamentos de sistemas/informática, por contar con conocimientos técnicos que deberán complementados con un conocimiento específico en materia de Protección de Datos de Carácter Personal. En otros casos se suele establecer varios responsables de seguridad que trabajan de forma coordinada en tres ámbitos dentro de la empresa: jurídico, informático y gestión de calidad. RESPONSABLE DE SEGURIDAD Funciones y obligaciones del Responsable de Seguridad: • Velar por el cumplimiento de las normas de seguridad contenidas en el Documento de Seguridad. • Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad. • Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias. • Establecer y comprobar la aplicación del procedimiento de realización de copias de respaldo y recuperación de datos y su periodicidad. • Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informático, con especificación del nivel de acceso que tiene cada usuario. • Establecer y comprobar la aplicación del procedimiento de identificación y autenticación de usuarios, así como la asignación, distribución y almacenamiento de las contraseñas de acceso. Funciones y obligaciones • Establecer y comprobar la aplicación del procedimiento de cambio periódico de las contraseñas de los usuarios del sistema. • Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. • Establecer y comprobar la aplicación de los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. • Conceder, alterar, anular el acceso autorizado a los datos y recursos, de acuerdo con los criterios establecidos por el Responsable del Fichero. • Velar por el cumplimiento de las normas de seguridad, comunicando al Responsable del Fichero las infracciones cometidas. • Establecer los controles periódicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento. Funciones y obligaciones • También establece expresamente el Reglamento, en el art.16, que en ningún caso el Responsable de Seguridad será responsable de las infracciones cometidas por el incumplimiento de la normativa vigente en materia de protección de datos, puesto que la responsabilidad corresponde únicamente al responsable del fichero. DELEGADO DE PROTECCIÓN DE DATOS.-PROPUESTA DE REGLAMENTO • Tanto la Comisión Europea (Informe COM (2003) 265 final, pág. 18 y 24) y el Grupo del artículo 29 (WP 106, p.22 y 23) han recomendado la designación de los DPO. Se incluye la recomendación de nombrar oficiales de protección de datos o privacidad, con la debida cualificación, recursos y facultades para el adecuado ejercicio de sus funciones de supervisión. DPO: CUANDO • el tratamiento sea llevado a cabo por una autoridad u organismo públicos; • el tratamiento sea llevado a cabo por una persona jurídica y el tratamiento de datos realizado por la empresa afecte a más de 5000 interesados en un período de doce meses . En el caso de un grupo de empresas se podrá nombrar un DPO único. • las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados. DPO: CUANDO • Posibilidad de un solo delegado en: – un grupo de empresas – varias entidades públicas teniendo en cuenta la estructura organizativa de la autoridad u organismo públicos DPO: PERFIL Y ESTATUTO 1. Perfil: – conocimientos especializados de la legislación y las prácticas en materia de protección de datos – capacidad para ejecutar las tareas asignadas 2. – – – – – Estatuto: Independencia mandato mínimo de dos años empleado / contrato de servicios Evitar funciones que determinen conflictos de intereses Deber del responsable o el encargado del tratamiento de comunicar el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público DELEGADO DE PROTECCIÓN DE DATOS. • Aunque el Reglamento habla de grandes empresas TAMBIÉN las organizaciones más pequeñas podrían beneficiarse por el nombramiento de un DPO. Por ejemplo, una pequeña start-up en el sector de información y la comunicación, puede muy bien beneficiarse de disponer del delegado de protección de datos como una ventaja competitiva. • El nombramiento de un DPO puede ser una medida preventiva muy útil que, de hecho, no sólo ahorraría dinero a los responsables y encargados, sino que también proporcionaría un mayor control sobre los riesgos reputacionales. DELEGADO DE PROTECCIÓN DE DATOS • La Comisión ha hecho hincapié en que también las empresas que no tengan la obligación legal de nombrar a un DPO pueden reducir considerablemente estos riesgos y mejorar su negocio haciendo esta posibilidad opcional. • El Reglamento debería prever incentivos para que los responsables y encargados que no estando obligados a ello designen un DPO obtengan ventajas de los Estados miembros (por ej. en impuestos u otras cargas).