Delegado de Protección de Datos Centralizado
Descripción y objetivo
Existen Responsables de Tratamiento (RT) que, por su naturaleza, están obligados a designar un Delegado de Protección de Datos (DPD). En función del tamaño y tipo de organización, la contratación de un DPD puede suponer un coste proporcionalmente elevado. El objetivo de esta buena práctica se focaliza en asegurar el cumplimiento de las funciones del DPD, mediante procesos que optimizan su funcionamiento y los costes de llevarlo a cabo, a través de la centralización de su figura en el organismo que proporciona el Servicio centralizado.
Buena práctica
La normativa de protección de datos es clara respecto de las funciones asociadas a la figura del DPD, y además fija las condiciones e independencia necesaria para desempeñarlas. Debido a que la propia normativa permite la externalización de esta figura, el hacerlo en el organismo que presta el Servicio centralizado de protección permite establecer numerosas sinergias que optimizan, economizan y facilitan el cumplimiento de la normativa de protección de datos en los RT adheridos. Para llevar a cabo este planteamiento, se deberían tener en cuenta los siguientes requisitos:
- Plasmar las funciones a llevar a cabo por el DPD centralizado en un contrato entre el RT y organismo que presta el Servicio centralizado (también puede formar parte del contrato del Servicio).
- Formalizar los procesos de adhesión, firma y desestimación del contrato por los RT.
- Gestionar los procesos de comunicación del DPD (altas, bajas y modificaciones) a la Autoridad de Control a través del Servicio centralizado, estableciendo como vía de contacto la Ventanilla única.
- Cubrir las funciones asociadas al DPD centralizado mediante los diferentes elementos que forman parte del servicio prestado a los RT.
- Documentar, formalizar y aprobar por los máximos órganos de gobierno una normativa de independencia y conflicto de intereses, para garantizar que los intereses (en materia de privacidad) de los RT están salvaguardados frente a los intereses del organismo que gestiona el Servicio centralizado.
- Que, como recomendación, se designe una figura en los RT con funciones operativas de protección de datos, de forma complementaria o no a sus funciones normales de trabajo, con el objetivo de servir de enlace entre el RT y el Servicio centralizado, a la par de ser la figura referente dentro de su organización para la toma de decisiones operativas que impacten en la privacidad y la seguridad.
Ejemplos de implantación
Como ejemplo de implantación, los RT externalizarían mediante un contrato de encargado de tratamiento todas las funciones del DPD en el organismo que presta el Servicio centralizado. Desde el Servicio centralizado se cubrirían las funciones y responsabilidades asociadas al DPD, mediante el despliegue de los elementos necesarios que se describen en la Capa de Operación, junto con los elementos de la Capa de Gobierno y Capa de Gestión que permitan operar el Servicio con las garantías e independencia necesaria. Para facilitar el despliegue del Servicio centralizado y, por tanto, el cumplimiento de la normativa de protección de datos en los RT, se propondría a estos la asignación a alguien de su plantilla del siguiente rol: “Responsable operativo de Protección de Datos”, con las funciones de contacto principal entre su organización y el servicio, estar formado en los diferentes elementos del servicio, tener nociones básicas de privacidad, coordinar la implantación de medidas a nivel interno, requerir su cumplimiento en los proveedores y servir de contacto operativo en caso de que el Servicio requiera contactar con el RT.