Velázquez, 109. Madrid (Spain - Europe)

+34.918327626 info@abanlex.com

DPO - Delegado de Protección de Datos para Empresas

El DPO es el profesional que se ocupa de la aplicación en la empresa de la legislación sobre privacidad y protección de datos.

Es obligatorio publicar los datos de contacto del DPO e informar a la AEPD (Agencia Española de Protección de Datos) sobre su designación para aquellas empresas que voluntariamente hayan decido tenerlo y, en todo caso, para las que se sea preceptivo contar con esta figura, según el GDPR o Reglamento General de Protección de Datos europeo.

El RS o Responsable de Seguridad es el profesional que se ocupa de la aplicación en la empresa de la legislación sobre privacidad y protección de datos.

Las empresas que no tengan obligación de designar un DPO pueden contar un RS externo o interno que lleve acabo las funciones para mantener la seguridad.

Las empresas obligadas a designar un DPO o Delegado de Protección de Datos son:

  • Empresas cuyas actividades principales consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Empresas cuyas actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos relativos a condenas e infracciones penales.

Las demás empresas pueden, voluntariamente, designar un DPO para mejorar la protección de los datos que tratan.

Asimismo, también se debe nombrar un DPO cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

Las empresas no obligadas a nombrar un DPO deben contar con un RS o Responsable de Seguridad que vele por el cumplimiento en la empresa de la legislación sobre privacidad y protección de datos. También las empresas que cuentan con un DPO pueden nombrar un RS para gestionar diferentes labores, como las técnicas.

El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el GDPR.

El RS puede ser cualquier persona, incluido el administrador de la sociedad, pudiendo o debiendo delegar aquellas tareas que un profesional especializado pueda ejecutar con garantías adecuadas.

El DPO tendrá como mínimo las siguientes funciones:

  1. Informar y asesorar a la empresa y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del GDPR y de otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros
  2. Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros y de las políticas de la empresa en materia de protección de datos personales
  3. Supervisar la asignación de responsabilidades
  4. Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento
  5. Supervisar las auditorías correspondientes
  6. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos
  7. Supervisar su aplicación de conformidad con la evaluación de impacto relativa a la protección de datos
  8. Cooperar con la autoridad de control (AEPD en España)
  9. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa
  10. Realizar consultas a la autoridad de control, en su caso, sobre cualquier otro asunto.

El DPO dirigirá la ejecución de tareas esenciales para la privacidad y la protección de datos entre las que se encuentran las siguientes:

  • Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
  • Identificación de las bases jurídicas de los tratamientos.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específico distintas de las establecidas por la normativa general de protección de datos.
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Diseño e implantación de políticas de protección de datos.
  • Auditoría de protección de datos.
  • Establecimiento y gestión de los registros de actividades de tratamiento.
  • Análisis de riesgo de los tratamientos realizados.
  • Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  • Realización de evaluaciones de impacto sobre la protección de datos.
  • Relaciones con las autoridades de supervisión.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

El DPO desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Para ello deberá ser capaz de:

  • Recabar información para determinar las actividades de tratamiento
  • Analizar y comprobar la conformidad de las actividades de tratamiento
  • Informar, asesorar y emitir recomendaciones al responsable o el encargado del
    tratamiento
  • Recabar información para supervisar el registro de las operaciones de tratamiento
  • Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto
  • Asesorar sobre:
    • si se debe llevar a cabo o no una evaluación de impacto de la protección de datos
    • qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos
    • si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa
    • qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados
    • si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos
    • si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el GDPR.
  • priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.
  • asesorar al responsable del tratamiento sobre:
    • qué metodología emplear al llevar a cabo una evaluación de impacto de la protección de datos
    • qué áreas deben someterse a auditoría de protección de datos interna o externa
    • qué actividades de formación internas proporcionar al personal o los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

Qué es GDPR o RGPD (Reglamento General de Protección de Datos): Es la norma europea diseñada para ayudar a las empresas a cumplir los mayores estándares continuados de seguridad, legalidad y transparencia en relación con el tratamiento de datos de carácter personal.

Por qué surge GDPR: Europa quiere mantenerse como uno de los lugares del mundo en los que se ofrece mayor calidad en el trato de las personas, impulsando su respeto, protegiéndolas y garantizando que se tratan sus datos personales solo como lo han autorizado.

Qué empresas que están sujetas a GDPR: Europeas; que dirijan sus servicios hacia Europa; o que reciban datos desde Europa.

Cómo se cumple: La empresa, tras llevar a cabo análisis y evaluaciones,  debe implementar medidas de seguridad físicas, lógicas, organizativas y formativas, así como contar con un responsable de seguridad o DPO, personalizar cada contrato de encargado del tratamiento que tenga que firmar y establecer protocolos de captación de datos, ejercicio de derechos, copias de seguridad, restauración de ficheros… Somos conscientes de que puede ser complicado cambiar la forma tradicional de hacer las cosas para evolucionar hacia un grado mayor calidad y confiabilidad. Por eso hemos diseñado una mecánica de prestación de servicios para hacérselo fácil a la empresa.

Profesionales

Abanlex cuenta con un equipo formado por abogados especializados, asesores certificados por AENOR para ejercer la función de DPO e ingenieros y técnicos en ciberseguridad. Además, contamos con acuerdos de colaboración con SmartHC, ZeroLynx, Securízame, Working Hackers, NevTrace y otras empresas especializadas

Con experiencia

Abanlex es la marca fundada en 2008 desde la que se ganó el caso que dio origen al Derecho al Olvido. Asesoramos a multinacionales, asociaciones y administraciones. Varios de nuestros profesionales son docentes universitarios o forman parte de claustros en cursos DPO. Tenemos más de 10 años de experiencia en protección de datos.

Y De confianza

Queremos que te dediques a tu negocio. Por eso hemos diseñado un modelo de prestación de servicios para ayudarte a comprender la protección de datos de forma que puedas avanzar con nuestra ayuda o delegar en nosotros todas las tareas. El objetivo es que tu empresa sepa hacer y pueda delegar con la confianza de recibir el mejor servicio.

Toda adecuación GDPR consiste en periodos anuales de servicios GDPR

Web: Adecuación GDPR
Ley de Cookies

Asesoramiento sobre contratos de encargado del tratamiento

Registro de actividades
de tratamiento

Análisis de riesgo sobre las actividades registradas

Evaluaciones de impacto
(de ser obligatorias)

Ayuda para crear el
Documento de Seguridad 

Mantenimiento pasivo
(escucha reactiva)

Asistencia al DPO
(en remoto)

Formación al personal

(en remoto)

Revisión de cláusulas GDPR
en contratos

Mantenimiento proactivo
(revisamos y preguntamos)

Asistencia al DPO
(presencial)

Refuerzo de formación presencial

Asistencia en la
configuración técnica

Servicio de DPO externo

Básico

1 web/dominio

Estándar

3 webs/dominios

Pro+

5 webs/dominios

¿Necesitas un plan diferente?
Contacta con nosotros