RGPD Artículo 39 describe el conjunto mínimo de deberes que un DPO debe llevar a cabo para ser considerado eficaz, incluidas sus obligaciones hacia la ley y su interacción con las autoridades gubernamentales.
Tareas del Delegado de Protección de Datos
- El delegado de protección de datos tendrá al menos las siguientes funciones:
- a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que llevan a cabo el tratamiento de sus obligaciones en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- b) supervisar el cumplimiento del presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en relación con la protección de datos personales, incluida la asignación de responsabilidades, la sensibilización y la formación del personal involucrados en las operaciones de procesamiento y las auditorías relacionadas;
- c) proporcionar asesoramiento cuando se solicite en relación con la evaluación de impacto de la protección de datos y supervisar su desempeño de conformidad con el artículo 35;
- d) cooperar con la autoridad de control;
- e) actuar como punto de contacto de la autoridad de control en cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y consultar, en su caso, respecto de cualquier otro asunto.
- En el desempeño de sus funciones, el delegado de protección de datos tendrá debidamente en cuenta el riesgo asociado a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
Tareas del delegado de protección de datos
- El delegado de protección de datos tendrá al menos las siguientes funciones:
- (a) informar y asesorar al controlador o al procesador y a los empleados que llevan a cabo el procesamiento de sus obligaciones de conformidad con este Reglamento y otras leyes nacionales relacionadas con la protección de datos;
- (b) supervisar el cumplimiento del presente Reglamento, de otras leyes nacionales relativas a la protección de datos y de las políticas del responsable o del encargado del tratamiento en relación con la protección de datos personales, incluida la asignación de responsabilidades, la sensibilización y la formación del personal involucrado en las operaciones de procesamiento y las auditorías relacionadas;
- c) proporcionar asesoramiento cuando se solicite en relación con la evaluación de impacto de la protección de datos y supervisar su desempeño de conformidad con el artículo 35;
- (d) cooperar con el Comisionado;
- e) actuar como punto de contacto del Comisario en cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y consultar, en su caso, respecto de cualquier otro asunto.
- En el desempeño de sus funciones, el delegado de protección de datos tendrá debidamente en cuenta el riesgo asociado a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
Las OPD no sólo deben informar y asesorar a las organizaciones sobre las actividades de procesamiento, sino también monitorear el cumplimiento de la legislación vigente.
El DPO designado por una organización también tiene un papel central que desempeñar siempre que surja la necesidad de llevar a cabo una Evaluación de Impacto de la Protección de Datos (DPIA).
Es importante señalar que, si bien el papel de un DPO está estrictamente sujeto a principios de confidencialidad, aún puede buscar orientación y asesoramiento de las autoridades regulatorias y legales.
En esta sección hablamos de los artículos 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
Los DPO deben tener las habilidades suficientes para llevar a cabo tareas relacionadas con la privacidad y se les debe ofrecer apoyo continuo para mantener un nivel aceptable de competencia.
ISO reconoce que cada organización es única en la forma en que procesa la información. Las áreas de responsabilidad anteriores deben ir acompañadas de pautas específicas del sitio y de la instalación que tengan en cuenta los factores del mundo real que afectan la operación de procesamiento de PII de una organización.
Las organizaciones deben designar a una persona que los clientes (y las autoridades externas) puedan utilizar como punto de contacto exclusivo para todos los asuntos relacionados con la PII (consulte ISO 27701 7.3.2), es decir, un DPO.
Además, las organizaciones deben delegar la responsabilidad a uno o más individuos para construir una estructura organizacional. programa de gobernanza de la privacidad que refuerza el cumplimiento de las leyes y regulaciones de PII locales y nacionales.
Como enfoque general, las organizaciones deben implementar programas de capacitación periódicos (incluso durante la fase de incorporación) que se alineen específicamente con sus propias políticas de protección de la privacidad generales y específicas de cada tema, y con los requisitos relacionados con PIMS.
Los formatos de capacitación pueden incluir:
El personal que desempeña un papel especializado en la protección de la privacidad (por ejemplo, el personal de mantenimiento de las TIC) debería beneficiarse de planes de formación especializados que tengan en cuenta el papel integral que desempeñan en la protección de la PII.
Los planes/sesiones de capacitación deben concluir con una evaluación que proporcione a la organización una visión de arriba hacia abajo de los niveles de competencia empleado por empleado.
Para complementar la capacitación en el lugar de trabajo, las organizaciones también deberían implementar programas de concientización sobre la protección de la privacidad que proporcionen al personal una variedad de materiales que actúen como puntos de información sobre el tema de la PII y la protección de la privacidad organizacional.
Los programas de concientización pueden incluir:
Los esfuerzos de concientización deben centrarse en:
La PII debe tratarse como un tema independiente dentro de los programas de capacitación en protección de la privacidad.
Es necesario concienciar al personal de las consecuencias legales, comerciales, reputacionales y disciplinarias específicas que resultan de la apropiación indebida y/o el mal manejo de la PII.
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 39 (1)(a) al 39 (2) del RGPD UE | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| Artículo 39, apartado 1, letra b) del RGPD UE | ISO 27701 6.4.2.2 | Ninguna |
Apoyar decisiones comerciales más amplias. Al tener todos sus datos en un solo lugar, diseñado para la colaboración, estará mejor equipado para tomar las decisiones correctas.
Manténgase a la vanguardia del cambio. Los riesgos no son estáticos, por lo que sus herramientas deben poder adaptarse. Aborde sin esfuerzo las amenazas y oportunidades utilizando una herramienta integrada y dinámica que simplifica la identificación, evaluación y tratamiento del riesgo de forma continua.
Descubre más por programar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
