Cómo demostrar el cumplimiento del artículo 38 del RGPD

Cargo del Delegado de Protección de Datos

Reserve una demostración

grupo,de,feliz,compañeros de trabajo,discutiendo,en,conferencia,sala

A continuación del artículo 37 que trata de la cita de un DPO, RGPD El artículo 38 describe la alcance de sus funciones, su posición en la organización y algunas tareas y deberes específicos.

RGPD Artículo 38 Texto Legal

Versión del RGPD de la UE

Cargo del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos participe, adecuada y oportunamente, en todas las cuestiones relacionadas con la protección de datos personales.

  2. El responsable y el encargado del tratamiento ayudarán al delegado de protección de datos en el desempeño de las tareas a que se refiere el artículo 39 proporcionándole los recursos necesarios para llevar a cabo dichas tareas y el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados.

  3. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos no reciba instrucciones sobre el ejercicio de dichas funciones. No será despedido ni sancionado por el responsable o el encargado del tratamiento por el desempeño de sus funciones. El delegado de protección de datos dependerá directamente del nivel directivo más alto del responsable o del encargado.

  4. Los interesados ​​podrán ponerse en contacto con el delegado de protección de datos con respecto a todas las cuestiones relacionadas con el procesamiento de sus datos personales y con el ejercicio de sus derechos en virtud del presente Reglamento.

  5. El delegado de protección de datos estará obligado a guardar secreto o confidencialidad en relación con el desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

  6. El delegado de protección de datos podrá cumplir otras tareas y deberes. El responsable o el encargado del tratamiento se asegurarán de que dichas tareas y deberes no den lugar a un conflicto de intereses.

Versión del RGPD del Reino Unido

Cargo del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos participe, adecuada y oportunamente, en todas las cuestiones relacionadas con la protección de datos personales.

  2. El responsable y el encargado del tratamiento ayudarán al delegado de protección de datos en el desempeño de las tareas a que se refiere el artículo 39 proporcionándole los recursos necesarios para llevar a cabo dichas tareas y el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados.

  3. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos no reciba instrucciones sobre el ejercicio de dichas funciones. No será despedido ni sancionado por el responsable o el encargado del tratamiento por el desempeño de sus funciones. El delegado de protección de datos dependerá directamente del nivel directivo más alto del responsable o del encargado.

  4. Los interesados ​​podrán ponerse en contacto con el delegado de protección de datos con respecto a todas las cuestiones relacionadas con el procesamiento de sus datos personales y con el ejercicio de sus derechos en virtud del presente Reglamento.

  5. El delegado de protección de datos estará obligado a guardar secreto o confidencialidad en el desempeño de sus funciones, de conformidad con la legislación interna.

  6. El delegado de protección de datos podrá cumplir otras tareas y deberes. El responsable o el encargado del tratamiento se asegurarán de que dichas tareas y deberes no den lugar a un conflicto de intereses.
Saltar al tema

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

Comentario técnico

El artículo 38 del RGPD aborda tres áreas principales de operación que se refieren al alcance de las funciones del Delegado de Protección de Datos dentro de la organización:

  1. El específico papel del DPO dentro de la organización, y cómo intervienen en la protección de los datos de una persona.

  2. La importancia de mantener imparcialidad y confidencialidad, en el desempeño de sus funciones, libres de escrutinio indebido o interferencia por parte de la dirección de la organización.

  3. La necesidad de evitar cualquier conflictos de interés, si el RPD desempeña cualquier otra función dentro de la organización, relacionada o no con sus obligaciones como RPD.

ISO 27701 Cláusula 6.3.1.1 (Roles y responsabilidades de seguridad de la información) y Artículo 38 del RGPD de la UE

En este apartado hablamos de los artículos 38(1), 38(2), 38(3), 38(4), 38(5), 38(6) del RGPD.

Las organizaciones deben definir roles y responsabilidades que sean específicas de las funciones individuales contenidas en su política de protección de la privacidad, tanto su política general como sus políticas temáticas específicas.

Las personas con responsabilidades específicas deben tener las habilidades suficientes para llevar a cabo tareas relacionadas con la privacidad y se les debe ofrecer apoyo continuo que mantenga un nivel aceptable de competencia.

Las áreas de responsabilidad deben incluir:

  • La protección de la PII y cualquier activo relacionado con la privacidad.

  • Ejecutar procedimientos de protección de la privacidad.

  • Actividades de gestión de riesgos relacionados con la PII, incluidas acciones correctivas.

  • Cualquiera que utilice la información y los datos de la organización, incluido el uso de activos TIC.

  • Personas con responsabilidad de alto nivel en materia de protección de la privacidad que delegan tareas a otros.

ISO reconoce que cada organización es única en la forma en que procesa la información. Las áreas de responsabilidad anteriores deben ir acompañadas de pautas específicas del sitio y de la instalación que tengan en cuenta los factores del mundo real que afectan la operación de procesamiento de PII de una organización.

Todas las responsabilidades y áreas de seguridad anteriores deben documentarse claramente y ponerse a disposición de todos los miembros del personal relevantes.

Las organizaciones deben designar a una persona que los clientes (y las autoridades externas) puedan utilizar como punto de contacto exclusivo para todos los asuntos relacionados con la PII (consulte la cláusula 27701 de la norma ISO 7.3.2).

Además, las organizaciones deben delegar la responsabilidad a una o más personas para crear un programa de gobernanza de la privacidad organizacional que refuerce el cumplimiento de las leyes y regulaciones de PII localizadas y nacionales.

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.3.2

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISO 27701 Cláusula 6.10.2.4 (Acuerdos de confidencialidad o no divulgación) y Artículo 38 (5) del RGPD UE

Al redactar, implementar y mantener NDA, las organizaciones deben:

  • Ofrecer una definición de la información que se desea proteger.

  • Describa claramente la duración prevista del acuerdo.

  • Indique claramente las acciones requeridas una vez que se haya rescindido el acuerdo.

  • Cualquier responsabilidad que acuerden los firmantes confirmados.

  • Propiedad de la información (incluida la propiedad intelectual y los secretos comerciales).

  • Cómo se permite a los firmantes utilizar la información.

  • Describa claramente el derecho de la organización a monitorear la información confidencial.

  • Cualesquiera repercusiones que se deriven del incumplimiento.

  • Revisa periódicamente sus necesidades de confidencialidad y ajusta cualquier acuerdo futuro en consecuencia.

Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (consulte ISO 27002 controles 5.31, 5.32, 5.33 y 5.34).

Compatible con controles ISO 27002

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Controles ISO 27002
Artículos 38 (1) a 38 (6) del RGPD UEISO 27701 6.3.1.1
ISO 27701 7.3.2		Ninguna
Artículo 38 (5) del RGPD UEISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Cómo ayuda ISMS.online

Cumplimiento del RGPD con SGSI.online

Nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar' en la plataforma ISMS.online facilita la demostración de su enfoque de cumplimiento del RGPD. Además, se beneficiará de potentes funciones que le permitirán ahorrar tiempo.

En caso de que suceda lo peor, estará preparado. Al documentar y aprender de cada incidente, le facilitamos la planificación y comunicación de su flujo de trabajo contra violaciones.

Descubre más por reservar una demostración.

Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.

Emmie Cooney
Gerente de Operaciones, Amigo

Reserva tu demostración

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más