Newsletter

El Delegat de Protecció de Dades (DPD) té diverses funcions assignades pel RGPD. Amb relació al Responsable del Tractament, assessora, informa i supervisa sobre tot allò que té a veure amb les obligacions previstes al RGPD i la resta de normativa aplicable, sobre el seu compliment per part de l'entitat i en les relacions amb l'Autoritat de Protecció de Dades. Pel que fa a l'Autoritat de Protecció de Dades, ha de cooperar i servir d'enllaç. I, finalment, respecte les persones afectades, atén l'exercici de drets i qualsevol qüestió relacionada amb el tractament de les dades.

Es tracta d'una nova figura que al sector sanitari i social esdevé obligatòria. El DPD ha de ser nomenat i ha d'estar ubicat a l'organigrama de les organitzacions. A més, no ha d'incórrer en conflicte d'interessos. És a dir, no pot realitzar altres tasques que impliquin prendre decisions sobre protecció de dades (per exemple, no és compatible amb funcions de director gerent, cap de Recursos Humans, director economicofinancer o director d'informàtica). Així mateix, cal concretar les seves funcions i responsabilitats, i s'ha d'implicar en totes les qüestions relacionades amb la protecció de dades. També cal tenir present que ha de disposar dels recursos necessaris, formar-se permanentment i actuar amb independència, reportant directament al primer nivell executiu.

La seva configuració no és unívoca, però es va definint en base als següents criteris:

• Cal que tingui expertesa i coneixement dels tractaments de dades de l'entitat i conegui la normativa de protecció de dades.
• No s'exigeix títol ni acreditació per exercir el càrrec.
• Malgrat que la seva externalització és possible, no és gens aconsellable en les entitats del sector, atès el volum, la diversitat i la sensibilitat dels tractaments. 
• S'ha de comunicar a l'Autoritat de Protecció de Dades a partir del 25 de maig de 2018 (enllaç al formulari de l'Autoritat Catalana de Protecció de Dades), així com a tot el personal de la organització, i ha de ser conegut pels usuaris (és un dels camps dels quals s'ha d'informar a partir del RGPD). 

El Registre d'Activitats de Tractament és el punt de partida en la gestió de la Protecció de Dades. D'acord amb allò previst al RGPD, tota aquella activitat de tractament de dades que no estigui recollida en un RAT no existeix en termes de protecció de dades. Consisteix en una descripció de les activitats de tractament, atenent els continguts exigits al RGPD. La seva elaboració es pot abordar a partir del contingut d'allò que en el seu moment es va informar al registrar els fitxers a les Autoritats de Protecció de Dades. A aquests efectes, les esmentades Autoritats de Protecció de Dades faciliten formularis on-line per recuperar els continguts dels fitxers inscrits (enllaç al formulari de la Agencia Española de Protección de Datos). Des del Codi Tipus s'ha posat a disposició dels membres adherits models d'aquest document.

Els RAT no s'han de comunicar a les Autoritats de Protecció de Dades (com fins ara passava amb el registre de fitxers), però han d'estar permanentment actualitzats i són el punt de partida per acreditar que s'han identificat, analitzat, valorat els riscos i que es tracten.

Una de les línies del RGPD s'orienta a establir una especial protecció als menor d'edat. En aquest sentit, s'estableixen dos criteris a tenir en compte: el primer determina que els menors poden donar el seu consentiment per al tractament de les seves dades a partir dels 16 anys, si bé permeten que els estats redueixin aquesta edat fins als 13 anys. Concretament, la normativa estatal vigent actualment preveu en aquest tema que el consentiment es pot facilitar als 14 anys. Però, d'altra banda, l'avantprojecte en tramitació de la nova LOPD preveu baixar-lo als 13 anys. Així que caldrà veure com, finalment, s'aprova la LOPD en aquest tema.

Sigui com sigui, per sota de l'edat que la norma acabi fixant, les organitzacions hauran de fer esforços (i poder acreditar que els estan fent) per constatar l'edat del menor i que el consentiment l'ha facilitat el titular de la pàtria potestat o tutor, quan així sigui necessari.

El segon criteri a tenir en compte fa referència a com complimentar l'obligació de transparència en el cas de menors. Específicament, s'ha de traslladar la informació d'una manera concisa, transparent, intel·ligible i amb un fàcil accés, amb un llenguatge clar i senzill, que ha de ser específicament pensat per a nens i nenes, si s'adreça a ells.