Tareas de control de los delegados de protección de datos

El Reglamento General de Protección de Datos (RGPD) ha cambiado fundamentalmente la organización de las empresas y las autoridades públicas. Las nuevas normativas de protección de datos tienen un impacto significativo en los procesos y estructuras internos y externos de las empresas.

En particular, los delegados de la protección de datos están mucho más delimitados de otros órganos que antes. Por ejemplo, antes los delegados internos de protección de datos también asumían tareas operativas para empresas privadas. Desde la entrada en vigor del RGPD, conservan una función de asesoramiento y supervisión .

Pero, ¿cómo y en qué medida los delegados de la protección de datos garantizan el cumplimiento del RGPD en las empresas? En este artículo, aprenderá más sobre las tareas de supervisión de los delegados de protección de datos.

Los hechos más importantes en resumen

Los delegados de la protección de datos realizan tareas de asesoramiento y supervisión. En otras palabras, como órgano independiente, son la interfaz entre la empresa o autoridad y la autoridad de control competente. No son (ya) activos desde el punto de vista operativo.
Para poder llevar a cabo sus tareas de supervisión, los delegados de la protección de datos dependen de la concesión de los poderes necesarios por parte de sus empleadores o clientes.
Para la realización de las actividades de control se dispone de diversos instrumentos de control, que deben utilizarse teniendo en cuenta los riesgos
Además, deben desarrollarse las condiciones marco organizativas, como orientaciones y directrices, así como conceptos de supervisión.

RGPD: ¿Qué ha cambiado para los delegados de la protección de datos?

El delegado de protección de datos es un observador objetivo y no un miembro activo en las empresas y las autoridades. En su lugar, son las propias empresas las que asumen la responsabilidad de garantizar que la protección de datos se aplica de forma viable en la empresa o autoridad.

Esto lo controlan y supervisan los delegados internos o externos de la protección de datos. Para ello disponen de diversos instrumentos, todos ellos destinados a garantizar el cumplimiento de la normativa sobre protección de datos. Es irrelevante que se trate de delegados de protección de datos internos o externos.

Especialmente en las empresas más pequeñas, un delegado de protección de datos interno cuesta mucho dinero, por lo que a menudo se contrata a un delegado de protección de datos externo. Los delegados de protección de datos oficiales realizan las mismas actividades que los delegados de protección de datos internas.

¿Cuáles son las tareas de los delegados de protección de datos?

Los delegados de la protección de datos tienen diversas tareas, que pueden variar en función del tamaño y la orientación de la empresa. La actividad como delegado de protección de datos sirve para el autocontrol y la mejora de la protección de datos en el tratamiento de datos personales dentro de una empresa. Para ello, los delegados de la protección de datos actúan tanto en calidad de asesores como de supervisores.

Los ámbitos de responsabilidad pueden dividirse en dos grandes categorías: Tareas de asesoramiento y tareas de supervisión, que se detallan a continuación.

Tareas de asesoramiento de los delegados de la protección de datos

Informar y asesorar a los responsables del tratamiento y a los empleados sobre sus obligaciones en virtud de la legislación de protección de datos
Persona de contacto para los afectados y establecimiento de procesos para tratar los contratiempos en materia de protección de datos
Apoyo en la preparación de declaraciones, conceptos y directrices sobre protección de datos
Apoyo en la realización de evaluaciones de impacto de la protección de datos

Tareas de control de los delegados de protección de datos

Cumplimiento de las obligaciones de protección de datos en virtud del RGPD
Revisión de la aplicación de las estrategias establecidas
Cooperación con la autoridad de control competente
Revisión de los registros de actividades de tratamiento
Comprobaciones de los empleados en relación con el cumplimiento de las directrices

Hablamos de las áreas generales de responsabilidad de los delegados de protección de datos externos e internos con más detalle en este artículo.

El papel del delegado de protección de datos en la empresa

La idea básica del RGPD en relación con los delegados de la protección de datos en la empresa es su función supervisora. Se supone que los delegados de la protección de datos son una persona u órgano de las empresas o autoridades públicas que no asumen la responsabilidad de las áreas operativas de tareas, sino que son únicamente observadores objetivos.

Esto también sirve para evitar conflictos de intereses y preservar la objetividad e independencia de los delegados de la protección de datos; de lo contrario, los delegados de la protección de datos también se supervisarían a sí mismos, lo que iría en detrimento de un control eficaz.

Por supuesto, los delegados de la protección de datos también pueden asumir su función sólo a tiempo parcial y dedicarse a las actividades habituales de un empleado durante la otra parte de su empleo. Sin embargo, hay que tener cuidado de que en tales constelaciones no haya conflicto de intereses entre ambas actividades.

Por lo tanto, los delegados de la protección de datos no deben ocupar cargos ejecutivos ni otros cargos de supervisión (como responsable de blanqueo de capitales, de confidencialidad, etc.).

Además de las autoridades de control de protección de datos, los delegados de protección de datos son los órganos más importantes en virtud del RGPD para supervisar las políticas de protección de datos dentro de las empresas y las autoridades públicas. Para poder ejercer eficazmente las tareas de supervisión, se dispone de diversas herramientas de supervisión. Entre ellas se incluyen:

Controles de protección de datos en los procesos
Auditorías de protección de datos
Evaluación de informes y estadísticas
Certificaciones

Un requisito previo para el trabajo eficaz de los delegados de la protección de datos de las empresas es el establecimiento de estos instrumentos de control en la empresa o autoridad. Sin embargo, la responsabilidad de aplicar estos instrumentos no recae en los delegados de la protección de datos, sino en los cargos directivos de las empresas y autoridades. Por lo tanto, los delegados de la protección de datos dependen de que se les concedan las competencias necesarias.

Sin embargo, también es beneficioso que el organismo responsable garantice un control eficaz para prevenir el riesgo de infracciones en materia de protección de datos y las correspondientes represalias y reclamaciones por daños y perjuicios por parte de las autoridades de control competentes y los afectados.

Controles de protección de datos

Para una supervisión coherente, es necesario integrar controles de protección de datos en la organización de la empresa. Estos incluyen controles preventivos de los procesos y procedimientos existentes, así como controles detectivos para aclarar las violaciones de la protección de datos. Es irrelevante si los controles son manuales o automatizados, suelen estar integrados en el software utilizado, etc. Los objetos de los distintos controles de protección de datos son:

Comprobación de la actualización de las autorizaciones de los usuarios
Eficacia y eficiencia de los procesos
Actualización de los registros
Revisión de las medidas técnicas y organizativas
Aprobación y establecimiento de autorizaciones de usuarios y especificaciones concretas al respecto
Participación del delegado de la protección de datos en los cambios y la introducción de nuevos procesos de tratamiento de datos
Análisis de umbrales para la evaluación del impacto de la protección de datos

Dado que los delegados de la protección de datos siempre actúan en función de los riesgos, los controles de protección de datos no sólo sirven para aplicar las directrices de protección de datos, sino también para prevenir los riesgos relacionados con los procesos para la empresa.

Por lo general, los controles no los llevan a cabo los propios delegados de la protección de datos, sino los cargos directivos de los organismos delegados o los empleados individuales, activos desde el punto de vista operativo. No obstante, los resultados o anomalías deben coordinarse con los delegados de la protección de datos y analizarse para tomar constantemente nuevas precauciones o mejorar los procesos.

La implementación de controles de protección de datos es necesaria en todos los aspectos para controlar todos los procesos y evitar contratiempos en la protección de datos. Porque éstos representan un riesgo financiero nada desdeñable para la empresa.

En lenguaje claro: el objetivo es evitar errores o detectarlos en una fase temprana, notificarlos y eliminarlos. Al mismo tiempo, se comprueba la eficacia de las medidas organizativas.

Esta implementación se lleva a cabo en los 4 pasos siguientes:

Identificación de riesgos en los procesos individuales
Definición y controles para la cobertura de riesgos
Implementación de los controles en los procesos individuales
Conducción y documentación de los controles

Auditorías de protección de datos

Una auditoría o revisión de protección de datos es el análisis de una unidad organizativa, un proceso individual o documentos o datos individuales dentro de la empresa. El objetivo es comprobar la seguridad, la eficiencia, la eficacia y el cumplimiento y detectar errores, evaluaciones u oportunidades de mejora.

El RGPD no contiene una obligación legal de realizar auditorías, pero en cualquier caso exige que la organización sea revisada por los delegados de la protección de datos. Aunque las auditorías de protección de datos son encargadas por los organismos responsables, la planificación y ejecución es responsabilidad de los delegados de protección de datos como organismo supervisor o de terceros independientes para evitar conflictos de intereses. Especialmente en empresas medianas y grandes, puede ser aconsejable externalizar las auditorías de protección de datos. Los delegados de la protección de datos tienen entonces la tarea de supervisar la correcta aplicación.

Esto se hace en todo momento teniendo en cuenta los riesgos Los procesos que impliquen un riesgo especialmente elevado o grave de infracciones de la protección de datos deben revisarse de forma más estricta y frecuente, y debe tenerse debidamente en cuenta el riesgo asociado. La eficacia y eficiencia de la organización de la protección de datos debe llevarse a cabo periódicamente, pero al menos una vez al año. La correcta implementación de los requisitos legales en los procesos también debe programarse en función del riesgo, pero también al menos anualmente. Además, está de nuevo el análisis de incidentes graves de protección de datos, que por supuesto no puede llevarse a cabo de forma preventiva o programada, sino sólo ad hoc.

Certificación

Además de las autorizaciones de la autoridad de responsable, las empresas también pueden protegerse mediante las denominadas certificaciones. En este caso, los conceptos internos y las normas de conducta son examinados y controlados por organismos externos independientes. En este sentido, las certificaciones son comparables a las auditorías de protección de datos. Sin embargo, una vez finalizada la auditoría, la empresa recibe un certificado que confirma el resultado positivo.

Los sistemas de certificación existen desde hace mucho tiempo. Los más conocidos son las normas DIN en Alemania y las normas ISO a nivel internacional. Sin embargo, el RGPD no prevé ninguno de estos sistemas, sino que establece los suyos propios en el marco del art. 4, 42 RGPD. Las normas deben ser aprobadas previamente por las autoridades de control y se basan en los intereses de los afectados, no en los de las empresas.

Debido al poco tiempo transcurrido desde la entrada en vigor del RGPD 2018, la oferta de certificaciones en Alemania es aún muy reducida. En consecuencia, todavía no son un instrumento adecuado en el marco del concepto de supervisión. Por supuesto, se pueden utilizar las certificaciones existentes, pero no se les debe dar demasiado valor a la hora de crear una estrategia de protección de datos adecuada.

Otros instrumentos de supervisión

Además de los controles y auditorías, existen otros instrumentos que pueden utilizarse para supervisar la protección de datos. Por un lado, los informes sobre seguridad de la información y las auditorías informáticas deben ponerse a disposición de los delegados de la protección de datos para que puedan comprobar si contienen información y procesos relevantes para la protección de datos.

Por otro lado, los delegados de la protección de datos pueden realizar encuestas de autoevaluación a los altos directivos de las empresas y las autoridades públicas sobre el cumplimiento de la normativa de protección de datos y preguntarles sobre las posibilidades de mejora y las deficiencias.

También se puede consultar a los empleados implicados sobre los procesos existentes y las sugerencias de mejora. Aquí también es aconsejable establecer un procedimiento por el que los empleados implicados puedan, en caso necesario, dirigirse también confidencialmente a los delegados de protección de datos e informar de infracciones o incidentes.

El análisis de los informes relacionados con los datos y las estadísticas de la gestión de riesgos, reclamaciones y seguridad de la información también puede proporcionar información relevante sobre el estado de la protección de datos en la empresa.

Organización y marco

Para cumplir sistemáticamente con la protección de datos, debe establecerse un marco de aplicación. Especialmente en las grandes empresas, es importante que todos los empleados que tengan algo que ver con datos personales estén debidamente informados de los derechos y obligaciones, así como de los procedimientos que deben seguirse. Por lo tanto, éstos deben documentarse, por ejemplo, en normas y reglamentos internos. Entre ellos figuran las directrices y políticas de protección de datos. Estas constituyen la base para cualquier regulación posterior y el establecimiento de un concepto de protección de datos. Por lo tanto, sirven como orientación para todos los empleados y regulaciones posteriores.

Las directrices de protección de datos pueden contener, por ejemplo, las siguientes normativas:

Objetivos corporativos en materia de protección de datos
Compromiso de la dirección con la protección de datos
Estructura de las directrices
Responsabilidades y competencias
Carácter vinculante de las directrices de protección de datos
Sensibilización y formación
Aplicación técnica de las directrices de protección de datos y rendición de cuentas
Organización de auditorías de protección de datos

Para concretar la directriz y establecer una normativa adecuada, deben elaborarse directrices basadas en ella. Dichas directrices de protección de datos deben regular al menos los siguientes contenidos:

Introducción o modificación del tratamiento de datos en la empresa
Evaluación del impacto de la protección de datos
Registro de actividades de tratamiento
Transparencia, derechos de los afectados, información
Seguridad del tratamiento automatizado
Operaciones de tratamiento por encargo
Incidentes relacionados con la protección de datos
Delegado de protección de datos
Información y formación
Responsabilidades
Descripción del proceso
Herramientas de supervisión
Garantía de mejora continua

Además, pueden elaborarse normativas sobre el sistema de gestión de la protección de datos, los controles de protección de datos, las auditorías de protección de datos, etc. La normativa sobre los delegados de la protección de datos, en particular, debe tratarse con más detalle:

Aquí es importante definir sus derechos y obligaciones en forma de asignación de tareas y competencias o poderes delegados y, si procede, cualificaciones profesionales. Esto incluye, en particular, normas sobre:

La obligación clara de designar y documentar al delegado de protección de datos y de notificarlo a la autoridad de control.
Las tareas específicas y el cargo del delegado de la protección de datos y cómo deben comunicarse.
La provisión de recursos suficientes para el desempeño de sus actividades, en particular tiempo, recursos financieros, autoridad y formación continua
Oportunidades de información suficientes para el delegado de la protección de datos y participación en los procesos
El deber de confidencialidad del delegado de la protección de datos
La libertad de instrucciones del delegado de la protección de datos y la exención de conflictos de intereses

Conceptos de supervisión

Además, la organización de la supervisión debe ser clara y estar regulada en detalle en un concepto de supervisión. Este debería incluir todos los procesos de la empresa relacionados con la protección de datos, así como los instrumentos destinados a la supervisión. A este respecto, el concepto de supervisión también debería incluir los diferentes enfoques de supervisión, que pueden complementarse entre sí y contribuir a un concepto óptimo.

Supervisión continua e ininterrumpida: Los instrumentos de supervisión deben utilizarse de forma permanente y en la totalidad de los procesos, sistemas y proyectos.

Supervisión orientada al riesgo: Es muy importante para la empresa que los procesos más arriesgados se supervisen de forma más estricta para evitar daños financieros y de reputación. Por lo tanto, es necesario filtrar qué procesos plantean el mayor riesgo para los afectados y las partes interesados y priorizar el concepto en consecuencia.

Supervisión orientada a los acontecimientos: Además de la supervisión periódica y normalmente preventiva, deben realizarse análisis de estos acontecimientos agudos de forma prioritaria, especialmente en el caso de las evaluaciones de impacto de la protección de datos y de los incidentes o violaciones de la protección de datos.

Responsabilidades: también es importante la asignación de responsabilidades y la rendición de cuentas para garantizar una supervisión sin fisuras.

Conclusión

No sólo los delegados de la protección de datos, sino todos los órganos de una empresa están comprometidos con la protección de datos. Los delegados de la protección de datos sólo asumen una función organizativa, de asesoramiento y, sobre todo, de supervisión.

Además de asesorar al delegado real del tratamiento sobre el establecimiento y la aplicación de los requisitos de protección de datos e informar y asesorar a los empleados, la actividad cotidiana de los delegados de la protección de datos consiste, en particular, en tareas de organización y supervisión dentro de la empresa.

A este respecto, los delegados de la protección de datos asumen un papel importante en el diseño del control de la protección de datos, así como en la revisión posterior. También se les solicita en la planificación y posterior supervisión de las auditorías, así como en el diseño del marco organizativo dentro de la empresa. En este contexto, también son responsables de la creación de conceptos de supervisión.

Nota: Debido al rápido desarrollo de la era digital y a los cambios en la legislación y la jurisdicción, es posible que entretanto la información enumerada ya no esté actualizada. Para la investigación se ha utilizado la información de la obra de Ralf Herweg y Thomas Müthlein "Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO", 1ª edición 2020.

Click to access the login or register cheese Click to access the login or register cheese Click to access the login or register cheese

Tareas de control de los delegados de protección de datos

Los hechos más importantes en resumen

RGPD: ¿Qué ha cambiado para los delegados de la protección de datos?

¿Cuáles son las tareas de los delegados de protección de datos?

Tareas de asesoramiento de los delegados de la protección de datos

Tareas de control de los delegados de protección de datos

El papel del delegado de protección de datos en la empresa

Controles de protección de datos

Auditorías de protección de datos

Certificación

Otros instrumentos de supervisión

Organización y marco

Conceptos de supervisión

Conclusión

Enraizada en la tecnología jurídica suiza

Con el respaldo de

Compensación de nuestras emisiones de carbono

Tareas de control de los delegados de protección de datos

Los hechos más importantes en resumen

RGPD: ¿Qué ha cambiado para los delegados de la protección de datos?

¿Cuáles son las tareas de los delegados de protección de datos?

Tareas de asesoramiento de los delegados de la protección de datos

Tareas de control de los delegados de protección de datos

El papel del delegado de protección de datos en la empresa

Controles de protección de datos

Auditorías de protección de datos

Certificación

Otros instrumentos de supervisión

Organización y marco

Conceptos de supervisión

Conclusión

Related articles

.bc37e9f6-c09b-4d59-962c-2cdbc06be4fb { fill: #55ebcd; } RGPD: Estas obligaciones se aplican a las empresas

.bc37e9f6-c09b-4d59-962c-2cdbc06be4fb { fill: #55ebcd; } Protección de datos en la empresa: Lo que hay que saber

.bc37e9f6-c09b-4d59-962c-2cdbc06be4fb { fill: #55ebcd; } Períodos de retención y borrado de acuerdo con el RGPD

.bc37e9f6-c09b-4d59-962c-2cdbc06be4fb { fill: #55ebcd; } Protección de datos en los proveedores - Qué deben tener en cuenta las empresas

.bc37e9f6-c09b-4d59-962c-2cdbc06be4fb { fill: #55ebcd; } RGPD: ¿Cómo puedo crear un registro de actividades de tratamiento?

.bc37e9f6-c09b-4d59-962c-2cdbc06be4fb { fill: #55ebcd; } Sistema de Gestión de Datos Personales: Lo que las empresas deben saber

Recibe nuestro boletín

RGPD: Estas obligaciones se aplican a las empresas

Protección de datos en la empresa: Lo que hay que saber

Períodos de retención y borrado de acuerdo con el RGPD

Protección de datos en los proveedores - Qué deben tener en cuenta las empresas

RGPD: ¿Cómo puedo crear un registro de actividades de tratamiento?

Sistema de Gestión de Datos Personales: Lo que las empresas deben saber