La figura del delegat de protecció de dades és l’encarregat de garantir que les empreses compleixen amb la normativa. A l’entrevista realitzada a Lleida TV, en Miquel Serrano ha explicat quines són les seves funcions, qui n’ha de disposar de forma obligatòria i les possibles sancions derivades a no tenir-ne.
Què és un delegat de protecció de dades?
Segons la nova normativa de maig del 2018, el Delegat de Protecció de Dades (DPD) és una figura obligatòria en certes empreses i entitats. Es tracta d’un auditor que ha de revisar, controlar i vigilar el compliment de la normativa en matèria de protecció de dades. Aquesta figura pot ser interna o externa a l’entitat, però el que és important és que tingui uns coneixements elevats, ha de saber del sector i ha de complir amb una sèrie de coneixements per tal de poder donar aquest servei.
Quina diferència hi ha entre un assessor i un delegat de protecció de dades?
Un assessor ajuda a fer la consultoria i la posada en marxa del sistema de protecció de dades. En canvi, el delegat ha d’assessorar, formar, controlar i fer una auditoria anual de tots els sistemes de seguretat de dades de l’entitat.
Totes les empreses han de disposar d’un delegat de protecció de dades?
No totes les empreses han de disposar d’un delegat de protecció de dades. Les empreses que l’han de tenir són les administracions públiques, el sector sanitari i altres entitats com federacions esportives o col·legis oficials, entre d’altres. Hi ha una gran varietat d’entitats que han de complir amb la figura de delegat de protecció de dades, les podeu consultar en aquest enllaç.
Hi ha molt d’intrusisme en aquest camp?
Pel que fa a l’aparició d’intrusisme en aquest camp, no és gaire comú, ja que un dels requisits per ser delegat de protecció de dades és registrar-se a les autoritats de control. El nivell de responsabilitat que té aquesta figura és molt alt, i en cas que sancionin a l’empresa per incomplir la normativa, també poden sancionar el DPD.
Qui regula i controla als delegats de protecció de dades?
En el cas d’empreses de caràcter privat, l’Agència Espanyola de Protecció de Dades és l’encarregada de regular i controlar als delegats. En el cas de Catalunya, les entitats de caràcter públic poden acudir a l’Autoritat Catalana de Protecció de Dades, mentre que en el País Basc, l’Agència Basca de Protecció de Dades en seria la responsable.
Com doneu aquests serveis des d’ASSPlus?
A ASSPlus tenim professionals ben preparats i orientats per oferir aquest servei, que requereix una formació de nivell elevat per a ser capaç d’assessorar a les empreses de manera professional.
Si una empresa té l’obligació de disposar d’un delegat de protecció de dades i no el té, que li pot passar en cas que cometi alguns errors?
En cas que una empresa estigui obligada a tenir un DPD i no el tingui, l’Agència Espanyola de Protecció de Dades ho detectarà i podrà sancionar-la per incompliment. Les sancions poden arribar des dels 25.000 euros fins a 50.000 euros. Això vol dir que les sancions poden ser molt elevades.
Per tant, és important que les empreses estiguin informades i compleixin amb les obligacions en matèria de protecció de dades. És aquí on entra en joc el paper del delegat de protecció de dades, que ajuda a les empreses a complir amb la normativa i a evitar possibles sancions que, si bé és un dany econòmic, també és un dany reputacional a l’entitat.
Hi ha molts casos en els quals les empreses han de disposar d’un delegat i no en tenen?
Sí, efectivament hi ha hagut casos així. Tot i això, si analitzem les estadístiques, veurem que més de 100.000 empreses ja han donat d’alta el seu delegat, però encara hi ha un gran nombre d’entitats que no compleixen amb aquesta obligació legal. A moltes empreses els costa entendre què significa un correcte compliment de la llei de protecció de dades i posar-se en mans de bons professionals.
Pot ser que una empresa tingui a una persona que sigui experta en protecció de dades i que es dediqui a aquesta qüestió?
Sí, és possible. No obstant això, la figura del delegat de protecció de dades té la limitació de no poder formar part de l’organització que audita. Això significa que no és possible que el mateix responsable auditi la seva pròpia empresa. Aquesta figura és poc habitual en la majoria d’empreses, però sí que és més comú en empreses grans, en què hi ha un organigrama més complex que permet tenir diferents responsables de seguretat i informàtics, així com un delegat de protecció de dades. Aquest és un error que fins i tot cometen algunes administracions públiques quan nomenen un dels seus treballadors com a delegat.
Algun consell respecte a la figura del delegat de protecció de dades?
Encara que no totes les entitats estan obligades per llei a tenir un delegat de protecció de dades, si l’empresa o organització tracta dades delicades o de gran volum, pot ser una bona idea tenir aquesta figura per donar una imatge de professionalitat i compromís amb la protecció de les dades.
En qualsevol cas, si una empresa té dubtes sobre si necessiten o no un delegat, a ASS Plus estarem encantats de poder assessorar-los.