Diapositiva 1

Anuncio
LA FIGURA DEL DELEGADO DE PROTECCIÓN DE
DATOS EN LA PROPUESTA
DE REGLAMENTO.
Editado por el Departamento de Publicaciones del IE. María de Molina 13, 28006 – Madrid, España.
ahora: RESPONSABLE
DE SEGURIDAD
El Reglamento de la LOPD establece que el Responsable
del Fichero designará uno o varios responsables de
seguridad encargados de coordinar y controlar
las medidas de seguridad definidas en el Documento de Seguridad.
El Responsable de Seguridad es la persona encargada de velar
por el cumplimiento de las medidas, reglas y normas de
seguridad establecidas por el Responsable del Fichero; en
la mayoría de los casos, se trata del personal de los departamentos
de sistemas/informática, por contar con conocimientos técnicos
que deberán complementados con un conocimiento específico en
materia de Protección de Datos de Carácter Personal.
En otros casos se suele establecer varios responsables de seguridad
que trabajan de forma coordinada en tres ámbitos dentro de la
empresa: jurídico, informático y gestión de calidad.
RESPONSABLE DE SEGURIDAD
Funciones y obligaciones del Responsable de Seguridad:
• Velar por el cumplimiento de las normas de seguridad contenidas en el
Documento de Seguridad.
• Determinar y describir los recursos informáticos a los que se aplicará el
Documento de Seguridad.
• Establecer y comprobar la aplicación del procedimiento de notificación,
tratamiento y registro de incidencias.
• Establecer y comprobar la aplicación del procedimiento de realización de
copias de respaldo y recuperación de datos y su periodicidad.
• Elaborar y mantener actualizada la lista de usuarios que tengan acceso
autorizado al Sistema Informático, con especificación del nivel de acceso
que tiene cada usuario.
• Establecer y comprobar la aplicación del procedimiento de identificación y
autenticación de usuarios, así como la asignación, distribución y
almacenamiento de las contraseñas de acceso.
Funciones y obligaciones
• Establecer y comprobar la aplicación del procedimiento de
cambio periódico de las contraseñas de los usuarios del sistema.
• Establecer y comprobar la aplicación de un sistema que limite el
acceso de los usuarios únicamente a aquellos datos y recursos
que precisen para el desarrollo de sus funciones.
• Establecer y comprobar la aplicación de los mecanismos
necesarios para evitar que un usuario pueda acceder a datos o
recursos con derechos distintos a los autorizados.
• Conceder, alterar, anular el acceso autorizado a los datos y
recursos, de acuerdo con los criterios establecidos por el
Responsable del Fichero.
• Velar por el cumplimiento de las normas de seguridad,
comunicando al Responsable del Fichero las infracciones
cometidas.
• Establecer los controles periódicos y auditorias necesarias para
comprobar el nivel de cumplimiento del documento.
Funciones y obligaciones
• También establece expresamente el
Reglamento, en el art.16, que en
ningún caso el Responsable de
Seguridad será responsable de las
infracciones cometidas por el
incumplimiento de la normativa
vigente en materia de protección de
datos, puesto que la responsabilidad
corresponde únicamente al
responsable del fichero.
DELEGADO DE PROTECCIÓN DE
DATOS.-PROPUESTA DE REGLAMENTO
• Tanto la Comisión Europea (Informe COM
(2003) 265 final, pág. 18 y 24) y el Grupo del
artículo 29
(WP 106, p.22 y 23) han recomendado la
designación de los DPO.
Se incluye la recomendación de nombrar
oficiales de protección de datos o privacidad,
con la debida cualificación, recursos y
facultades para el adecuado ejercicio de sus
funciones de supervisión.
DPO: CUANDO
• el tratamiento sea llevado a cabo por una
autoridad u organismo públicos;
• el tratamiento sea llevado a cabo por una
persona jurídica y el tratamiento de datos
realizado por la empresa afecte a más de 5000
interesados en un período de doce meses . En el
caso de un grupo de empresas se podrá nombrar
un DPO único.
• las actividades principales del responsable o del
encargado del tratamiento consistan en
operaciones de tratamiento que, en razón de su
naturaleza, alcance y/o fines, requieran un
seguimiento periódico y sistemático de los
interesados.
DPO: CUANDO
• Posibilidad de un solo delegado en:
– un grupo de empresas
– varias entidades públicas teniendo en cuenta la
estructura organizativa de la autoridad u
organismo públicos
DPO: PERFIL Y ESTATUTO
1. Perfil:
– conocimientos especializados de la legislación y las
prácticas en materia de protección de datos
– capacidad para ejecutar las tareas asignadas
2.
–
–
–
–
–
Estatuto:
Independencia
mandato mínimo de dos años
empleado / contrato de servicios
Evitar funciones que determinen conflictos de intereses
Deber del responsable o el encargado del tratamiento de
comunicar el nombre y los datos de contacto del
delegado de protección de datos a la autoridad de
control y al público
DELEGADO DE PROTECCIÓN DE DATOS.
• Aunque el Reglamento habla de grandes
empresas TAMBIÉN las organizaciones más
pequeñas podrían beneficiarse por el
nombramiento de un DPO. Por ejemplo, una
pequeña start-up en el sector de información y la
comunicación, puede muy bien beneficiarse de
disponer del delegado de protección de datos
como una ventaja competitiva.
• El nombramiento de un DPO puede ser una
medida preventiva muy útil que, de hecho, no
sólo ahorraría dinero a los responsables y
encargados, sino que también proporcionaría un
mayor control sobre los riesgos reputacionales.
DELEGADO DE PROTECCIÓN DE DATOS
• La Comisión ha hecho hincapié en que también
las empresas que no tengan la obligación legal de
nombrar a un DPO pueden reducir
considerablemente estos riesgos y mejorar su
negocio haciendo esta posibilidad opcional.
• El Reglamento debería prever incentivos para
que los responsables y encargados que no
estando obligados a ello designen un DPO
obtengan ventajas de los Estados miembros (por
ej. en impuestos u otras cargas).
Descargar