Órganos consultivos
Descripción y objetivo
La normativa de protección de datos debe ser aplicada por los Responsables de Tratamiento (RT), pero no debemos olvidar que esta normativa se ve afectada de forma complementaria (o suplementaria) por otras normativas o legislaciones sectoriales, regionales, estatales y europeas. Pese a que los expertos en protección de datos pueden realizar una primera adaptación de la normativa de protección de datos a la realidad de los RT, a lo largo del ciclo de vida de los tratamientos se requerirá de órganos consultivos que sean capaces de resolver conflictos entre varias normativas, o bien resolver dudas a la hora de realizar ciertas operativas que cumplan todas las normativas y legislación aplicables.
Buena práctica
Como buena práctica en este aspecto, se deberían cumplir los siguientes requisitos:
- Reflejar en su composición los perfiles necesarios para adaptar con éxito la normativa de protección de datos a la realidad de los RT y contar, como mínimo, con: expertos en la operativa de los RT, expertos en protección de datos y expertos en la legislación ajena a protección de datos aplicable.
- Definir y aprobar formalmente las funciones de cada uno de los órganos, así como los mecanismos de interacción entre ellos y el Servicio centralizado.
- Aprobar formalmente la composición de cada uno de los órganos, junto con los procedimientos de alta, baja o sustitución de miembros en cada órgano.
- Formalizar la periodicidad de las convocatorias ordinarias de cada uno de los órganos, junto con el procedimiento de convocatorias extraordinarias.
- Llevar a cabo activamente las convocatorias según la planificación estipulada.
- Implicar a los órganos consultivos en iniciativas relevantes de protección de datos que afecten a la operativa de los RT.
Ejemplos de implantación
Los órganos consultivos pueden diferir en función de los sectores cubiertos por el Servicio centralizado, pero como ejemplo sencillo de implantación se podría plantear el siguiente órgano:
- Comité mixto de protección de datos, compuesto por un conjunto de Responsables de Tratamiento expertos en operativas de negocio, asesores legales expertos en normativa sectorial y territorial, conjunto de Responsables del Servicio centralizado en su calidad de expertos en seguridad y protección de datos. Este órgano tendría las siguientes funciones (entre otras): revisión y mejora de la Normativa Interna de aplicación a los RT, resolución de conflictos normativos, resolución de dudas no cubiertas por la normativa interna, revisión y propuesta de actividades de supervisión, colaboración en iniciativas y campañas a desplegar en los RT, etc.