Actualitat >

Notícies

Externalitzar el Delegat de Protecció de Dades ofereix garanties i independència pel compliment de la nova normativa

El Reglament General de Protecció de Dades (RGPD) obliga als hospitals a comptar amb un Delegat de Protecció de Dades com aquell òrgan de la persona jurídica que ha de vetllar pel correcte compliment normatiu en matèria de protecció de dades, així com actuar de forma independent, iniciant activitats de control i auditoria i assistint als titulars de les dades quan sigui requerit per aquests. La pròpia norma, en el seu article 37.6, preveu que aquest delegat sigui intern o extern, depenent de les necessitats de cada organització, això ha generat un debat sobre quina de les dues opcions és millor, però en realitat depèn de cada organització. Això sí, tenir-lo com a extern si aquest és competent i de confiança permet una sèrie d'avantatges.

En primer lloc, l'especialització i el coneixement del delegat és fonamental per complir amb la normativa i per això -tot i no necessitar d'una titulació específica- el Delegat de Protecció de Dades ha de tenir coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades, en particular:

  • coneixements específics sobre la legislació i pràctiques nacionals i europees en matèria de protecció de dades
  •  profunda comprensió del RGPD
  • comprensió de les operacions de tractament que es duen a terme
  • coneixements de caràcter tècnic que permetin avaluar adequadament tant el nivell de seguretat que ofereixin els sistemes d'informació com els riscos que es puguin derivar del seu ús o de la introducció de nous elements
  • capacitat per fomentar una cultura de protecció de dades dins de l'organització.

Així, un delegat extern assegura no només d'un interlocutor competent, sinó també un equip especialitzat en protecció de dades amb un profund coneixement de la norma i una actualització constant en un moment en que la legislació en la matèria s'està consolidant a força de la publicació de guies i opinions per part de les diferents agències, molt actives i prolífiques. També cal tenir present que ens trobem a l'espera de la rúbrica de la legislació nacional i que, a més, en els propers mesos i anys els canvis a l'organització hauran de ser constants per tal de seguir complint amb les exigències futures que sorgiran, previsiblement, de textos en tràmit com el Reglament e-Privacy, aplicable als tractaments online i a través d'aplicacions mòbil, o la Directiva de protecció dels Alertadors (Whistleblowers), que preveu la creació d'un canal confidencial de denúncies per poder alertar dels incompliments en matèria de protecció de dades.

No només cal valorar l'aportació que un equip expert en protecció de dades pot fer a l'organització, sinó també el fet que un delegat de dades extern serà menys susceptible d'actuar amb falta d'independència. Aquest element, la independència i autonomia, és el valor fonamental que ha d'aportar el Delegat de Protecció de Dades. Tan important és, que el propi RGPD, al Considerant 77, equipara al Delegat de Protecció de Dades, a les seves indicacions en concret, als Codis de Conducta aprovats i a les Directrius del Comitè Europeu de Protecció de Dades, pel que fa a l'aplicació de mesures que permetin demostrar el compliment normatiu del responsable o encarregat del tractament.

L'autonomia i independència implica que pugui recolzar-se per a la realització d'aquestes tasques en la resta de departaments i òrgans de l'organització, vetllant pel correcte nivell de compliment normatiu alhora que recull les necessitats i inquietuds del personal, adaptant les solucions a una realitat pròpia de cada entitat mentre es mantingui intacte el compromís amb el compliment normatiu. Cal valorar també les possibles incompatibilitats, presents o sobrevingudes, que puguin presentar-se durant la prestació de serveis del Delegat de Protecció de Dades intern, el que suposaria, a la vegada, un incompliment normatiu sancionat amb multes de fins a 10 milions d'euros o el 2% de la facturació anual (la que resulti més elevada).

Responsabilitat proactiva

El RGPD ha suposat un canvi en el model normatiu tradicional en matèria de protecció de dades, incorporant alguns elements que no són gaire comuns en el nostre ordenament, com els principis de responsabilitat proactiva o l'enfocament basat en els riscos, tot això tenint present que la tònica dominant fins ara passava per una clara tipificació de les infraccions i un compliment normatiu bàsicament reactiu.

Amb el RGPD, en definitiva, abandonem el model de llista de mesures predefinides a aplicar per obrir-nos a un espai en que cada organització, en base als seus riscos, recursos i necessitats, haurà de determinar quins tractaments i quines mesures de seguretat són necessàries per a complir amb un marc normatiu obert i difús en el que més pesa és la capacitat de millora constant i de resposta davant de les incidències.

Dins d'aquest marc normatiu diferent, el Delegat de Protecció de Dades ha d'actuar en base al principi de responsabilitat proactiva. En aquest sentit, no s'ha de confondre amb un mer assessor que aportarà la seva visió i el seu consell quan sigui requerit. El Delegat de Protecció de Dades ha d'abandonar per sempre la seva zona de confort per situar-se en la primera línia dels tractaments de dades, garantint que a l'organització s'apliqui el principi de privacitat des del disseny i per defecte.

Correspon a cada entitat valorar el nivell de complexitat i el volum de tractaments que realitza, per tal de valorar si pot nomenar a un Delegat de Protecció de Dades intern a temps parcial, si és necessari nomenar-lo a temps complert o si resulta més convenient, en vista a les possibilitats que ofereix cada opció, contractar els serveis d'un Delegat de Protecció de Dades extern, sempre que aquest sigui solvent i de confiança.