AADPD | Asociación Aragonesa de Delegados de Protección de Datos

Logotipo Asociación Aragonesa de Delegados de Protección de datos
Próximo evento

III JORNADAS ARAGONESAS DE PROTECCIÓN DE DATOS, TRANSPARENCIA Y CIBERSEGURIDAD

El 16 y 17 de abril en Calatayud, Zaragoza

Cultura de Privacidad y Protección de Datos Personales

Asociación Aragonesa de Delegados de Protección de Datos

Logotipo Asociación Aragonesa de Delegados de Protección de datos

LA ASOCIACIÓN

La Asociación Aragonesa de Delegados de Protección de Datos nace, con una voluntad firme de Transparencia y con 2 fines fundamentales:

Promover y difundir una verdadera
“Cultura de Privacidad y Protección de Datos Personales”

En todas las capas de la sociedad aragonesa, tanto en todos los agentes obligados, públicos y privados, como en los ciudadanos, ayudándoles en el ejercicio de sus derechos y denunciando aquellas prácticas contrarias a la normativa vigente.

Agrupar y defender los intereses de los Delegados de Protección de Datos asociados,

Siempre dentro del “Código Ético” marcado por la Agencia Española de Protección de Datos y la legislación vigente, así como promoviendo el desarrollo profesional de la figura del DPD, su formación y su acreditación profesional.

Asociación Aragonesa de Delegados de Protección de Datos

UN POCO DE HISTORIA

¿Qué es ser Delegado de Protección de Datos (DPD)?

La figura de DPD (ó DPO) nace con el Reglamento Europeo RGPD (UE) 2016/679, (artículos 37, 38 y 39) como figura profesional e independiente, que se coloca entre la Agencia Española de Protección de Datos y los responsables del cumplimiento normativo, tanto público como privado, convirtiéndose en el verdadero supervisor y facilitador del mismo.

RGPD (UE) 2016/679

  • El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

    1.  el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
    2.  las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
    3.  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

  •  Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

  •  Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

  • En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

  • El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

  •  El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

  • El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
  •  El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

  •  El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

  •  El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

  •  Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

  •  El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

  • El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
  •  El delegado de protección de datos tendrá como mínimo las siguientes funciones:

    1.  informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
    2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
    3.  ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
    4. cooperar con la autoridad de control;
    5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
  •  El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

LOPDGDD 3/2018

  • Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
    1.  Los colegios profesionales y sus consejos generales.
    2.  Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
    3.  Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
    4.  Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
    5.  Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
    6.  Los establecimientos financieros de crédito.
    7.  Las entidades aseguradoras y reaseguradoras.
    8.  Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
    9.  Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
    10.  Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
    11.  Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
    12.  Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
      Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
    13.  Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
    14.  Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
    15. Las empresas de seguridad privada.
    16.  Las federaciones deportivas cuando traten datos de menores de edad.
    17.  Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
  •  Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

  •  La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.

  •  En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.

El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.

  •  El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.

  •  Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses.

  • En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica.

  •  Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
  •  Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame.
    En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.

  •  Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes.
    Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo.

  •  El procedimiento ante la Agencia Española de Protección de Datos será el establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo. Asimismo, las comunidades autónomas regularán el procedimiento correspondiente ante sus autoridades autonómicas de protección de datos.
Asociación Aragonesa de Delegados de Protección de Datos
Asociación Aragonesa de Delegados de Protección de Datos

DPD

Un Delegado de Protección de Datos (DPD) es aquella persona, responsable en el seno de una organización, de realizar la supervisión y monitorización, de forma independiente y confidencial, de si se está cumpliendo adecuadamente la normativa en materia de protección de datos personales.

En consecuencia, deberá informar y asesorar a la entidad que lo designe y a los empleados de esta que traten datos personales de las obligaciones que les corresponden.

Por otro lado, ofrecerá todo el asesoramiento que se le solicite, colaborará con la autoridad de control (en nuestro país, la Agencia Española de Protección de Datos –AEPD-) y actuará como punto de contacto para todas las cuestiones que afecten a esta materia, ya provengan de esta autoridad o del propio titular de los datos personales que están siendo tratados.

La normativa en materia de protección de datos personales viene representada, a nivel de la Unión Europea, por el Reglamento General de Protección de Datos (RGPD) (UE) 2016/679, y, a nivel interno español, como complemento y desarrollo del RGPD, por la Ley Orgánica de Protección de Datos personales y de Garantía de los Derechos Digitales (LOPDGDD 3/2018).

Asociación Aragonesa de Delegados de Protección de Datos

LA ACREDITACIÓN PERSONAL

La Agencia Española de Protección de Datos (AEPD), como forma independiente de demostrar la capacidad profesional de los Delegados de Protección de Datos, entendiendo a los mismos como figura clave, obligada y/o  conveniente, en cualquier organización ha promovido un sistema de acreditación de los profesionales que quieran dedicarse a ocupar dicho cargo.

Como primer paso para el ejercicio profesional, y para formarse adecuadamente, la Asociación Aragonesa de Delegados de Protección de Datos (AADPD) promueve, dentro de sus actividades, la formación como DPD, en colaboración con los centros homologados y las entidades de certificación autorizadas por la AEPD.
Igualmente colabora con las Universidades que tienen su master en protección de datos.

Último Evento

I JORNADAS ARAGONESAS DE PROTECCIÓN DE DATOS, TRANSPARENCIA Y CIBERSEGURIDAD

Información sobre el útlimo evento organizado por la Asociación en mayo de 2022.
Cartel I Jornadas Aragonesas de Protección de datos, transparencia y ciberseguridad
ÚNETE A LA ASOCIACIÓN

¿Quieres unirte a la Asociación Aragonesa de Delegados de Protección de Datos?
Ponte en contacto con nosotros y te informaremos de todo lo necesario para poder formar parte de la Asociación.