Esquema de certificación de DPO de la AEPD.(Delegado de Protección de Datos).

| |

Nueva LOPD. LOPD Administradores Fincas y Asesores. www.somoslopdalicante.com

Esquema de certificación de DPO de la AEPD.(Delegado de Protección de Datos).


La Agencia De España de Protección de Datos (AEPD), en cooperación con la Entidad Nacional de Acreditación (ENAC), ha presentado su Esquema de certificación de Encargados de Protección de Datos. Su preparación ha contado con la participación de un Comité Técnico de Especialistas formado por veintitres miembros, entre aquéllos que se hallan representantes de ámbitos y asociaciones profesionales, empresariales, universidades y Administraciones Públicas. La AEPD se transforma de esta forma en la primera Autoridad europea que efectúa un Esquema de certificación de Encargados de Protección de Datos (DPO).



Las certificaciones van a ser concedidas por entidades certificadoras adecuadamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en cooperación con los ámbitos perjudicados. La certificación no es la única vía para ser DPO y en ningún caso va a ser obligatorio usar un determinado esquema.





Perfil del puesto de DPO

El DPO es un profesional cuyas funciones se apuntan en el artículo treinta y nueve del Reglamento general de Protección de Datos y se encarga de la aplicación de la legislación sobre privacidad y protección de datos.


Este va a tener por lo menos las próximas funciones:



- Informar y aconsejar al responsable o bien al encargado del tratamiento y a los empleados

- Inspeccionar el cumplimiento de la normativa de Protección de Datos
- Inspeccionar la asignación de responsabilidades
- Supervisar la concienciación y capacitación del personal
- Repasar las auditorías pertinentes
- Aconsejar sobre la evaluación de impacto relativa a la protección de datos
- Colaborar con la Autoridad de control
- Actuar como punto de contacto de la autoridad de control
- Efectuar consultas a la autoridad de control


El encargado de protección de datos desempeñará sus funciones prestando la debida atención a los peligros asociados a las operaciones de tratamiento, teniendo presente la naturaleza, el alcance, el contexto y fines del tratamiento.


Competencias demandadas para desempeñar el cargo de DPO



El DPO va a deber reunir conocimientos especializados del Derecho y la práctica en materia de protección de datos. Se han identificado, en consecuencia, aquellos conocimientos, habilidades o bien habilidades precisas que debe saber o bien tener la persona a garantizar para realizar cada una de las funciones propias del puesto de Encargado de Protección de Datos.



Estas funciones genéricas del DPO se pueden detallar en labores de asesoramiento y supervisión, entre otras muchas, en las próximas áreas:


  1. - Cumplimiento de principios relativos al tratamiento
  2. - Identificación de las bases jurídicas de los tratamientos
  3. - Valoración de compatibilidad de finalidades diferentes de las que produjeron la recogida inicial de los datos
  4. - Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento concretas
  5. - Diseño y también implantación de medidas de información a los perjudicados por los tratamientos de datos
  6. - Establecimiento de mecanismos de recepción y administración de las peticiones de ejercicio de derechos por la parte de los interesados
  7. - Valoración de las peticiones de ejercicio de derechos por la parte de los interesados
  8. - Contratación de encargados de tratamiento
  9. - Identificación de los instrumentos de trasferencia internacional de datos convenientes a las necesidades y peculiaridades de la organización
  10. - Diseño y también implantación de políticas de protección de datos
  11. - Auditoría de protección de datos
  12. - Establecimiento y administración de los registros de actividades de tratamiento
  13. - Análisis de peligro de los tratamientos efectuados
  14. - Implantación de las medidas de protección de datos desde el diseño y por defecto convenientes a los peligros y naturaleza de los tratamientos
  15. - Implantación de las medidas de seguridad convenientes a los peligros y naturaleza de los tratamientos
  16. - Establecimiento de procedimientos de administración de violaciones de seguridad de los datos
  17. - Realización de evaluaciones de impacto sobre la protección de datos
  18. - Relaciones con las autoridades de supervisión


Requisitos previos para la Certificación DPO




Para acceder a la fase de evaluación, va a ser preciso el cumplimiento de alguno de los próximos prerrequisitos:



Uno. Experiencia profesional de, por lo menos, 5 años en proyectos y/o actividades y labores relacionadas con las funciones del DPO en materia de protección de datos.



Dos. Probar una experiencia profesional de, cuando menos, 3 años en proyectos y/o actividades y labores relacionadas con las funciones del DPO en materia de protección de datos, y una capacitación mínima reconocida de sesenta horas con relación a las materias incluidas en el programa del Esquema.



Tres. Acreditar una experiencia profesional de, por lo menos, un par de años en proyectos y/o actividades y labores relacionadas con las funciones del DPO en materia de protección de datos, y una capacitación mínima reconocida de cien horas con relación a las materias incluidas en el programa del Esquema.



Cuatro. Capacitación mínima reconocidas de ciento ochenta horas con relación a las materias incluidas en el programa del Esquema.



Las entidades de capacitación pedirán a las de certificación el reconocimiento de los programas de capacitación que dan conforme con los requisitos arriba mentados.



En el caso de no cumplir con la experiencia requerida, se va a poder convalidar hasta un año de experiencia a través de la justificación de méritos auxiliares. Se valorará la capacitación y experiencia adquiridas a escala nacional y en la UE.





Código ético



Los DPO certificados en su actividad profesional con arreglo al esquema de la AEPD efectuarán sus actuaciones con unión a los próximos principios:





Legalidad y también integridad



Cumplir rigurosamente con la legalidad actual, particularmente la referida a la prestación del servicio, para eludir que se realice cualquier actividad ilegal.





Profesionalidad



Desarrollar sus funciones con la debida diligencia y rigor profesional, y sosteniendo de manera permanente actualizada su capacidad profesional y su capacitación personal; debiendo portarse frente a las personas, empresas, entidades y clientes del servicio de modo escrupulosamente fiel y también independiente de las restricciones de cualquiera naturaleza que pueda influir su tarea y la del personal del que, ocasionalmente, sea responsable.





Responsabilidad en el desarrollo de su actividad profesional y personal DPO



Aceptar solo aquellas actividades que razonablemente aguarden llenar con las habilidades, conocimiento y competencias precisas.





Ecuanimidad



Actuar con objetividad sin admitir la repercusión de enfrentamientos de interés o bien otras circunstancias que pudiesen cuestionar la integridad profesional y la de la propia organización a la que pertenece.





Transparencia



Informar a todas y cada una de las partes interesadas de forma clara, precisa y suficiente de todos y cada uno de los aspectos que convergen en el ejercicio profesional, siempre que exactamente los mismos no estén sujetos al régimen de confidencialidad, en tal caso van a tener carácter reservado y no van a poder ser divulgados;



Confidencialidad


Respetar y guardar la precisa protección y reserva de la información a la que pudiese tener acceso con motivo de actividad profesional, resguardando los derechos de todas y cada una de las partes interesadas a su amedrentad. Dicha información no ha de ser usada para beneficio personal ni revelada a partes inadecuadas.


El incumplimiento de ciertos principios, valores y criterios contenidos en este Código puede conllevar una investigación de la conducta del titular de la certificación y, en último término, medidas disciplinarias por la parte del pertinente organismo de certificación que pueden suponer la suspensión o bien retirada de la certificación.





Sistema de Evaluación



El proceso de evaluación está basado tanto en la valoración del conocimiento y experiencia, como en el desarrollo profesional progresivo.



Mediante las pertinentes pruebas de evaluación, el aspirante va a deber patentizar que tiene la competencia conveniente, o sea, los conocimientos teóricos, la capacidad profesional y las habilidades personales precisas para realizar las labores pertinentes a la actividad de Encargado de Protección de Datos, en los términos y condiciones establecidas por el Esquema de certificación de la AEPD.





Examen



El examen versará sobre los temas relativos a los conocimientos concretos indicados en el programa del Esquema. La meta del examen es valorar los conocimientos teorético-prácticos de un demandante para efectuar funciones de Encargado de Protección de Datos.



El examen abarca una prueba que consta de ciento cincuenta preguntas tipo test de contestación múltiple, siendo preciso para su aprobación haber superado el setenta y cinco por ciento .



Las preguntas van a tener 4 opciones de contestación, de las que solo una va a ser válida. La duración del examen es de 4 horas. El resultado de la prueba de evaluación comportará la valoración de “apto” o bien “no apto” en todos y cada convocatoria.





Contenido del temario DPO



Los contenidos a valorar en el examen de la certificación están integrados en los próximos dominios o bien áreas temáticas conforme las ponderaciones indicadas:



- Dominio 1 Normativa general de Protección de Datos: Cumplimiento normativo del reglamento europeo, normativa nacional, directiva europea sobre ePrivacy. Indicaciones y guías del GT art.29, etcétera Ponderación: cincuenta por ciento .



- Dominio dos Responsabilidad activa: Evaluación y administración de peligros de tratamientos de datos personales; evaluación de impacto de protección de datos, protección de datos desde el diseño, protección de datos por defecto, etcétera Ponderación: treinta por ciento .



- Dominio tres Técnicas para asegurar el cumplimiento de la normativa de Protección de Datos y otros conocimientos: Auditorías de seguridad, auditorías de protección de datos, etcétera Ponderación: veinte por ciento .





Evaluadores



El conjunto de evaluadores está constituido por profesionales independientes del Esquema con capacitación y experiencia profesional equivalente o bien superior al aspirante a garantizar, con capacidad de valorar las pruebas. Deben asegurar la independencia de criterio, emitiendo un informe con el resultado de la evaluación en el que se fundamenta la resolución de concesión del certificado al aspirante evaluado.





Concesión de la Certificación



Tras superar el examen, la Entidad de Certificación concederá la certificación a los aspirantes que hubiesen conseguido el resultado de “apto”.



Anteriormente el demandante va a deber admitir de manera expresa el Código Ético y las Reglas de Empleo de la marca del certificado.



A cada persona certificada la Entidad de Certificación le asignará un número identificativo intransferible y que va a ser usado en el futuro para su identificación, así como el número identificativo de la entidad de certificación que emitió el certificado.



La Certificación se entrega por un periodo de 3 años a menos que la persona sea sancionada. Pasado ese plazo debe pedirse la renovación de esa Certificación.





Suspensión de la Certificación



La suspensión de la Certificación puede ser:


Voluntaria



En el caso en que la persona certificada declare haber dejado de cumplir con los requisitos del Esquema, establecidos o bien de otro orden, su certificado va a dejar de estar en vigor a lo largo de un tiempo no superior a doce meses. Para la vuelta a la condición de certificado, la entidad de certificación requerirá efectuar comprobaciones dirigidas a confirmar que las causas que motivaron la petición de suspensión han desaparecido.


Temporal por conductas contrarias 


Esos incumplimientos van a poder dar sitio a la suspensión temporal de la certificación por un periodo máximo de 6 meses. La acumulación de 3 incumplimientos va a poder suponer la suspensión de la certificación por un periodo mínimo de 6 meses hasta la mitad del ciclo de certificación, superada la que se procederá a la retirada de la certificación.

Retirada de la Certificación



Van a ser motivos que van a deber llevar a una entidad de certificación a la retirada de una certificación ya emitida, los siguientes:



- Cualquiera de los establecidos previamente para la suspensión temporal, en función de su gravedad o bien su reiteración, como la reiteración en un tipo específico de incumplimiento que motivó una suspensión temporal, lo que implica que no se ha corregido la conducta del DPO.



- La suspensión de la certificación por un periodo superior a la mitad del ciclo de certificación.



- La carencia de cooperación de la persona certificada para la devolución del certificado en el caso de sanción.



Para la vuelta a la condición de certificado, la persona perjudicada va a deber someterse a un proceso de certificación inicial completo. La Entidad de Certificación va a poder requerir a quien, anteriormente a someterse a la evaluación, evidencie haber resuelto las causas que llevaron a la retirada del certificado precedente sin que ello pueda ser considerado como trato discriminatorio.




Nueva LOPD. LOPD Administradores Fincas y Asesores. www.somoslopdalicante.com