Los Delegados de Protección de Datos son un componente fundamental de la operación de seguridad cibernética más amplia de cualquier organización.
RGPD Artículo 37 enfatiza la importancia del rol y ofrece orientación sobre cómo se debe nombrar un RPD, las actividades principales del rol y cómo se comunican dichos nombramientos.
Designación del Delegado de Protección de Datos
- El responsable y el encargado del tratamiento designarán un delegado de protección de datos en cualquier caso en el que:
- a) el tratamiento sea realizado por una autoridad u organismo público, salvo los tribunales que actúen en su capacidad judicial;
- b) las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, por su naturaleza, alcance y/o finalidades, requieren un seguimiento regular y sistemático de los interesados a gran escala; o
- c) las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 y de datos personales relacionados con condenas penales y delitos a que se refiere el artículo 10.
- Un grupo de empresas podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.
- Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, podrá designarse un único delegado de protección de datos para varias de dichas autoridades u organismos, teniendo en cuenta su estructura organizativa y su tamaño.
- En casos distintos de los mencionados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen categorías de responsables o encargados del tratamiento podrán o, cuando así lo exija la legislación de la Unión o de los Estados miembros, designarán un delegado de protección de datos. El delegado de protección de datos podrá actuar en nombre de dichas asociaciones y otros organismos que representen a los responsables o encargados del tratamiento.
- El delegado de protección de datos será designado sobre la base de sus cualidades profesionales y, en particular, de su conocimiento experto de la legislación y las prácticas en materia de protección de datos y de su capacidad para desempeñar las tareas mencionadas en el artículo 39.
- El delegado de protección de datos puede ser un miembro del personal del responsable o del encargado del tratamiento, o desempeñar las tareas en virtud de un contrato de servicios.
- El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
Designación del Delegado de Protección de Datos
- El responsable y el encargado del tratamiento designarán un delegado de protección de datos en cualquier caso en el que:
- a) el tratamiento sea realizado por una autoridad u organismo público, salvo los tribunales que actúen en su capacidad judicial;
- b) las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, por su naturaleza, alcance y/o finalidades, requieren un seguimiento regular y sistemático de los interesados a gran escala; o
- c) las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 y de datos personales relacionados con condenas penales y delitos a que se refiere el artículo 10.
- Un grupo de empresas podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.
- Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, podrá designarse un único delegado de protección de datos para varias de dichas autoridades u organismos, teniendo en cuenta su estructura organizativa y su tamaño.
- En casos distintos de los mencionados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen categorías de responsables o encargados del tratamiento podrán designar un delegado de protección de datos. El delegado de protección de datos podrá actuar en nombre de dichas asociaciones y otros organismos que representen a los responsables o encargados del tratamiento.
- El delegado de protección de datos será designado sobre la base de sus cualidades profesionales y, en particular, de su conocimiento experto de la legislación y las prácticas en materia de protección de datos y de su capacidad para desempeñar las tareas mencionadas en el artículo 39.
- El delegado de protección de datos puede ser un miembro del personal del responsable o del encargado del tratamiento, o desempeñar las tareas en virtud de un contrato de servicios.
- El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán al Comisario.
El artículo 37 del RGPD describe 7 áreas clave que las organizaciones deben tener en cuenta al nombrar y gestionar las actividades de un Delegado de Protección de Datos:
En esta sección hablamos de los artículos 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5) del RGPD. ), 37 (6), 37 (7)
Las organizaciones deben definir roles y responsabilidades que sean específicas de las funciones individuales contenidas en su política de protección de la privacidad, tanto su política general como sus políticas temáticas específicas.
Las personas con responsabilidades específicas deben tener las habilidades suficientes para llevar a cabo tareas relacionadas con la privacidad y se les debe ofrecer apoyo continuo que mantenga un nivel aceptable de competencia.
Las áreas de responsabilidad deben incluir:
ISO reconoce que cada organización es única en la forma en que procesa la información. Las áreas de responsabilidad anteriores deben ir acompañadas de pautas específicas del sitio y de la instalación que tengan en cuenta los factores del mundo real que afectan la operación de procesamiento de PII de una organización.
Todas las responsabilidades y áreas de seguridad anteriores deben documentarse claramente y ponerse a disposición de todos los miembros del personal relevantes.
Las organizaciones deben designar a una persona que los clientes (y las autoridades externas) puedan utilizar como punto de contacto exclusivo para todos los asuntos relacionados con la PII (consulte la cláusula 27701 de la norma ISO 7.3.2).
Además, las organizaciones deben delegar la responsabilidad a una o más personas para crear un programa de gobernanza de la privacidad organizacional que refuerce el cumplimiento de las leyes y regulaciones de PII localizadas y nacionales.
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 37 (1)(a) al 37 (7) del RGPD UE | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Su solución GDPR completa.
Nuestro entorno prediseñado encaja perfectamente en su sistema de gestión y le permite describir y demostrar su enfoque para proteger los datos de sus clientes europeos y del Reino Unido.
Con ISMS.online, puede demostrar fácilmente un nivel de protección de la privacidad que va más allá de lo "razonable", todo en una ubicación segura y siempre disponible.
Descubre más por reservar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Solicite un presupuesto
