La Unión Europea rechaza al Data Protection Officer (Delegado Protección Datos) en el Reglamento de Protección de Datos.

Miniatura noticia

Aunque en los últimos tiempos el futuro Reglamento de Protección de Datos parece haberse diluido, ya que casi no hay noticias e información sobre su tramitación, gracias a @sergiocm (Sergio Carrasco) he tenido acceso a un documento que muestra la comparativa entre las propuestas planteadas por el Parlamento Europeo y lo que ha adoptado conjuntamente la Comisión y el Consejo. El documento puede descargarse en la web de edri, que han publicado al respecto una noticia bajo el título “Laked documents: European Data Protection Reform is badly broken”. Este título, lo dice todo.

Como bien es conocido, una de las principales novedades que introducía la norma era la figura del Data Protection Officer, usando para ello la experiencia adquirida por los DPO de los propios organismos de la Unión Europea, ya que tienen su propia regulación.

Inicialmente, en la propuesta de Reglamento de Protección de Datos, la figura del DPO era obligatoria para las Administraciones Públicas, cuando el tipo de tratamientos requiriesen un seguimiento de los tratamientos y los afectados, y en aquellas empresas que tuviesen más de 250 trabajadores.

El Parlamento, modificó este último apartado, de manera que la obligatoriedad recaería en aquellas empresas que en un período de 12 meses realizasen tratamientos que afectasen a más de 5.000 personas

Pues bien, en el texto consensuado por la Comisión y el Consejo, el Data Protection Officer pasa a tener un carácter meramente voluntario, tanto para el responsable del tratamiento como para el encargado del mismo, salvo que exista obligación por la propia Unión Europea o los Estados miembros.

Es decir, tanto discutir si debe ser obligatorio en función de los tratamientos o de las personas que trabajen en una empresa, que para eliminar dicha discusión, quitamos dicha obligatoriedad. De paso, para no ser discriminatorio, también en las Administraciones públicas, y lo dejamos a la mera voluntariedad, y en su caso, a que la propia Unión o los Estados miembros lo de decidan. Fin de la discusión.

Asimismo, también se le despoja de lo que formaba parte de su “Estatuto”, y más concretamente de sus funciones, ya que desaparecen todas las menciones específicas a asegurar el cumplimiento del Reglamento de Protección de Datos referentes, por ejemplo, a la privacidad por diseño, por defecto, obligaciones de documentación o la comunicación de las brechas de seguridad.

También se elimina la obligación de ser nombrado durante un período mínimo de dos años, e incluso de parte de los requisitos para ser DPO, ya que se exigía una mayor cualificación en función de los tipos de tratamientos de datos personales (por ejemplo, en el caso de datos de salud). Fuera todo.

Sus funciones quedarían reducidas a las siguientes:

  • informar y asesorar al responsable o al encargado del tratamiento y a los trabajadores de las obligaciones que les incumben en virtud del presente Reglamento y del resto de normativa aplicable de los países miembros;
  • supervisar el cumplimiento de las políticas del responsable o del encargado del tratamiento en materia de este Reglamento y de la normativa aplicable de los Estados miembros, concienciación, formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • aconsejar en relación con los procedimientos de evaluación de impacto de privacidad;
  • supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia:
  • actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento.

PD: Por ahora, sólo he tenido tiempo de leer lo referente al DPO para este post. ¡Miedito da el resto!

Foto por Tara Hunt

  • Twitter
  • Facebook
  • Google Plus
  • LinkedIn
  • Print

2 comentarios

  1. Últimas modificaciones del Reglamento Europeo de Protección de Datos | Blog firma-eBlog firma-e
    23 de marzo de 2015 @ 23:36

    […] Se ha filtrado un documento con lo que sería el texto negociado y propuesto entre la Comisión y el Consejo del Reglamento Europeo de Protección de Datos (ver al respecto en el post anterior titulado “La Unión Europea rechaza la figura del Data Protection Officer -Delegado de Protección de Datos“-). […]

    Responder

  2. Últimas modificaciones del Reglamento Europeo de Protección de Datos | Trade Legal
    25 de marzo de 2015 @ 20:25

    […] del Reglamento Europeo de Protección de Datos (ver al respecto en el post anterior titulado “La Unión Europea rechaza la figura del Data Protection Officer -Delegado de Protección de Datos“-). Se han introducido numerosos cambios en relación, no sólo con la Propuesta inicial de […]

    Responder

Enviar una respuesta

*

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.