– Con la nueva Ley de Protección de Datos, desde el consejo provincial de nuestra institución nos preguntamos: ¿es obligatorio que tengamos un delegado de protección de datos en nuestros colegios?
– El RGPD establece que estarán obligados a tener un delegado de protección de datos aquellos negocios y empresas que tengan como objetivo el tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el desarrollo de la misma. En el caso de centros docentes, sí lo es.
El nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2016 (aplicable desde el pasado mes de mayo) contiene componentes similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base para evolucionar hacia una correcta aplicación del nuevo Reglamento.
Sin embargo, el RGPD modifica algunos aspectos del régimen anterior y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización según su sector y circunstancias.
Una de las cuestiones que se vienen planteando de manera reiterativa es el nombramiento del Delegado de Protección de Datos (‘Compliance Officer’ o DPD), que es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
El artículo 34 del Proyecto de la Ley General de Protección de Datos (PLOPD) detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos, entre ellas, los centros docentes.
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no tiene que tener una titulación específica, es necesario que cuente con conocimientos sobre tecnología aplicada al tratamiento de datos, o en relación con el ámbito de actividad de la organización en la que desempeñe su tarea.
Sus funciones se especifican en el artículo 39 del RGPD:
- Informar al responsable o responsables del tratamiento de datos de sus obligaciones.
- Supervisar el correcto cumplimiento de la normativa y las labores derivadas de esta, como la asignación de responsabilidades o la formación del personal.
- Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa europea y la propia LOPD.
- Colaborar con la autoridad de control comunitaria y nacional encargada de velar por la aplicación de la normativa y ser punto de contacto.
En el caso de los centros educativos, los responsables del tratamiento deberán realizar una valoración del riesgo que implique el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.
Por otra parte, los centros que cuentan con colaboradores que no forman parte de su organización –servicio de comedor, transporte, actividades extraescolares, etc.– deben tener en cuenta que estos también tratan los datos personales de alumnos, padres o profesores; pero lo hacen por encargo del responsable –el centro o la administración educativa– y tienen la consideración de encargados de tratamiento. Aquí es necesario un contrato que deberá incluir las garantías adecuadas:
- La obligación del encargado del tratamiento de manejar los datos únicamente conforme a las instrucciones del centro.
- Los datos no se utilizarán para finalidades distintas de las previstas en el contrato, ni se comunicarán a otras personas.
- Las medidas de seguridad a implantar por el encargado del tratamiento.
- La devolución de los datos al centro o al encargado del tratamiento que esta designe; o, su destrucción una vez finalizado el contrato.
La cifra
10.500 es es el número de denuncias y reclamaciones que recibió en 2017 la Agencia Española de Protección de Datos en todas sus áreas de actuación.
Puede enviar sus preguntas a: asesorlegal@vidanueva.es