¿Podrá el DPO demostrar el cumplimiento directamente ante el ente regulador?

Categories Artículos

Por Ana Caballero | abogada en CÓDIGO LEGAL (expertos en e-health). www.codigolegal.com

El RGPD establece la obligatoriedad del nombramiento de un Data Protection Officer en las compañías que traten datos de salud.

Este DPO deberá dar cumplimiento a las competencias que el RGPD le establece, siempre con la finalidad de cumplir con el requisito de la “acontability”, generando ciertas inquietudes sobre la forma más adecuada de hacerlo. Para ello, el DPO deberá conocer perfectamente el desarrollo de la actividad desarrollada por su compañía, y contar con una infraestructura de cumplimiento que le permita probar ante la autoridad de control que se han aplicado las medidas técnicas y organizativas suficientes.

En este sentido, y a grandes rasgos, es importante que el DPO: planifique su programa de privacidad,  administre la gestión de los datos en toda la organización y lo implemente; asigne, comunique y reporte a los directores de cada área de actividad (haciéndoles coparticipes de los estándares de responsabilidad) y lo incorpore de forma efectiva y operativa al desarrollo del negocio. Además, la existencia de un documento que recoja las evidencias de cada actividad de gestión de datos personales, y que estas queden probada mediante, la solicitud, recolección y registro de evidencias documentales, es fundamental.

El DPO también tendrá que justificar los recursos que necesita para implementar y mantener las actividades de gestión de información que su organización ha identificado como prioritarias. Así como se recomienda que genere informes que incluyan el proceso, el cumplimiento, mantenimiento y control.

La organización determinará cómo posicionar al DPO y al equipo de privacidad dentro de la organización, teniendo en cuenta los diferentes modelos de gobierno y jerarquía de la organización. Pero siempre bajo el entendimiento de que la figura del DPO: no estará sometido a órdenes de ningún mando intermedio de la propia compañía, sino que sólo responderá ante el máximo nivel jerárquico de la misma.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *