¿Será obligatoria para las clínicas privadas la nueva figura del Delegado de Protección de Datos (DPO)?

21 Jul ¿Será obligatoria para las clínicas privadas la nueva figura del Delegado de Protección de Datos (DPO)?

FacebookTwitterGoogle+LinkedIn

El Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos introduce una nueva figura: el Delegado de Protección de Datos (DPD), también llamado Data Protection Officer (DPO). Para incorporar los preceptos legales recogidos en el nuevo Reglamento Europeo es necesario adecuar la legislación española para evitar situaciones equívocas o incompatibles con la norma comunitaria. Por ello, el Gobierno ha impulsado un Anteproyecto de Ley Orgánica, que sustituirá a la actual Ley orgánica 15/1999 de Protección de Datos de Carácter Personal.

¿Qué es un Delegado de Protección de Datos (DPD/DPO)?

El Delegado de Protección de Datos es una figura especializada en la normativa de protección de datos de organizaciones y empresas que actúa como garante de su cumplimiento, prestando asesoramiento y supervisión sobre las disposiciones legales, además de actuar como mediador entre los diferentes agentes. El DPO ejerce sus funciones como figura independiente a la gerencia de la empresa. En la práctica, ello significa que el DPO podrá ser un proveedor ajeno a la empresa (autónomo o despacho profesional) o bien un miembro de la plantilla con cualidades profesionales y conocimiento en la materia que no ostente funciones de dirección, es decir que esté desvinculado de los cargos directivos de toma de decisiones de la empresa pues debe garantizarse su actuación independiente.

Las principales funciones del DPO son las siguientes:

– Informar y asesorar al responsable del tratamiento* y a los empleados para cumplir con la normativa, así como supervisar su aplicación.

– Ofrecer asesoramiento respecto la evaluación de impacto de la protección de datos.

-Cooperar y actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento de datos.

-Actuar como mediador entre el interesado de los datos y el responsable del tratamiento, así como entre el responsable y el encargado en la empresa o entre el responsable y las autoridades de control.

Todo lo anterior, prestando atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento.

¿Qué empresas deberán nombrar DPO?

El primer punto del Artículo 37 del Reglamento citado establece que en todo caso se designará un delegado de protección de datos cuando:

-El tratamiento lo lleve a cabo una autoridad u organismo público;

-Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala;

-Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Asimismo, el Anteproyecto establece que también deberán designar un delegado los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Es decir, de acuerdo al Anteproyecto, todas las clínicas privadas, incluso consultorios, deberán tener designado un DPO para velar por el cumplimiento de la legislación en protección de datos. En este punto, las autoridades deberán concretar la obligatoriedad en base al volumen de datos de las clínicas. No obstante, aunque en determinados supuestos no existiera la obligación legal de designar a un DPO, debemos tomar consciencia de que la normativa en Protección de Datos cada vez es más rigurosa y las sanciones por incumplimiento cada vez son más elevadas, pudiendo conllevar multas de hasta 20 millones de euros.

 

*El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo, que determina los fines y medios del tratamiento de los datos de carácter personal de la empresa.

 

 

 

 

Fuente fotografía: Shutterstock