La Agencia Española de Protección de Datos (AEPD), en colaboración con la Entidad Nacional de Acreditación (ENAC), ha presentado su Esquema de certificación de Delegados de Protección de Datos. Su elaboración ha contado con la participación de un Comité Técnico de Expertos formado por 23 miembros, entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas. La AEPD se convierte así en la primera Autoridad europea que realiza un Esquema de certificación de Delegados de Protección de Datos (DPO).

Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados. La certificación no es la única vía para ser DPO y en ningún caso será obligatorio utilizar un determinado esquema.

Perfil del puesto de DPO

El DPO es un profesional cuyas funciones se señalan en el artículo 39 del Reglamento general de Protección de Datos y se ocupa de la aplicación de la legislación sobre privacidad y protección de datos.
Este tendrá como mínimo las siguientes funciones:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados
  • Supervisar el cumplimiento de la normativa de Protección de Datos
  • Inspeccionar la asignación de responsabilidades
  • Controlar la concienciación y formación del personal
  • Revisar las auditorías correspondientes
  • Asesorar acerca de la evaluación de impacto relativa a la protección de datos
  • Cooperar con la Autoridad de control
  • Actuar como punto de contacto de la autoridad de control
  • Realizar consultas a la autoridad de control

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

 

Competencias exigidas para desempeñar el cargo de DPO

El DPO deberá reunir conocimientos especializados del Derecho y la práctica en materia de protección de datos. Se han identificado, en consecuencia, aquellos conocimientos, habilidades o destrezas necesarias que tiene que saber o poseer la persona a certificar para llevar a cabo cada una de las funciones propias del puesto de Delegado de Protección de Datos.

Estas funciones genéricas del DPO se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:

  • Cumplimiento de principios relativos al tratamiento
  • Identificación de las bases jurídicas de los tratamientos
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos
  • Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados
  • Contratación de encargados de tratamiento
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización
  • Diseño e implantación de políticas de protección de datos
  • Auditoría de protección de datos
  • Establecimiento y gestión de los registros de actividades de tratamiento
  • Análisis de riesgo de los tratamientos realizados
  • Implantación de las medidas de protección de datos desde el diseño y por defecto adecuadas a los riesgos y naturaleza de los tratamientos
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Relaciones con las autoridades de supervisión

Prerrequisitos para la Certificación

Para acceder a la fase de evaluación, será necesario el cumplimiento de alguno de los siguientes prerrequisitos:

  1. Experiencia profesional de, al menos, cinco años en proyectos y/o actividades y tareas relacionadas con las funciones del DPO en materia de protección de datos.
  2. Demostrar una experiencia profesional de, al menos, tres años en proyectos y/o actividades y tareas relacionadas con las funciones del DPO en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema.
  3. Acreditar una experiencia profesional de, al menos, dos años en proyectos y/o actividades y tareas relacionadas con las funciones del DPO en materia de protección de datos, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa del Esquema.
  4. Formación mínima reconocidas de 180 horas en relación con las materias incluidas en el programa del Esquema.

Las entidades de formación solicitarán a las de certificación el reconocimiento de los programas de formación que imparten de acuerdo con los requisitos arriba mencionados.

En caso de no cumplir con la experiencia requerida, se podrá convalidar hasta un año de experiencia mediante la justificación de méritos adicionales. Se valorará la formación y experiencia adquiridas a escala nacional y en la Unión Europea.

Código ético

Los DPO certificados en su actividad profesional conforme al esquema de la AEPD realizarán todas sus actuaciones con sujeción a los siguientes principios:

Legalidad e integridad

Cumplir estrictamente con la legalidad vigente, en particular la referida a la prestación del servicio, para evitar que se lleve a cabo cualquier actividad ilícita.

Profesionalidad

Desarrollar sus funciones con la debida diligencia y rigor profesional, y manteniendo permanentemente actualizada su capacidad profesional y su formación personal; debiendo comportarse ante las personas, empresas, entidades y clientes de modo escrupulosamente leal e independiente de las limitaciones de cualquiera naturaleza que pueda influir su propia labor y la del personal del que, eventualmente, sea responsable.

Responsabilidad en el desarrollo de su actividad profesional y personal

Asumir sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias.

Imparcialidad

Actuar con objetividad sin aceptar la influencia de conflictos de interés u otras circunstancias que pudieran cuestionar la integridad profesional y la de la propia organización a la que pertenece.

Transparencia

Informar a todas las partes interesadas de forma clara, precisa y suficiente de todos los aspectos que confluyen en el ejercicio profesional, siempre y cuando los mismos no estén sujetos al régimen de confidencialidad, en cuyo caso tendrán carácter reservado y no podrán ser divulgados;

Confidencialidad

Respetar y guardar la necesaria protección y reserva de la información a la que pudiera tener acceso por razón de actividad profesional, salvaguardando los derechos de todas las partes interesadas a su intimidad. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas.

El incumplimiento de alguno de los principios, valores y criterios contenidos en este Código puede acarrear una investigación de la conducta del titular de la certificación y, en última instancia, medidas
disciplinarias por parte del correspondiente organismo de certificación que pueden suponer la suspensión o retirada de la certificación.

Sistema de Evaluación

El proceso de evaluación está basado tanto en la valoración del conocimiento y experiencia, como en el desarrollo profesional continuo.

A través de las correspondientes pruebas de evaluación, el candidato deberá evidenciar que posee la competencia adecuada, es decir, los conocimientos teóricos, la capacidad profesional y las habilidades personales necesarias para llevar a cabo las tareas correspondientes a la actividad de Delegado de Protección de Datos, en los términos y condiciones establecidas por el Esquema de certificación de la AEPD.

Examen

El examen versará sobre los temas relativos a los conocimientos específicos indicados en el programa del Esquema. El objetivo del examen es evaluar los conocimientos teórico-prácticos de un solicitante para realizar funciones de Delegado de Protección de Datos.

El examen engloba una prueba que consta de 150 preguntas tipo test de respuesta múltiple, siendo necesario para su aprobación haber superado el 75%.

Las preguntas tendrán cuatro opciones de respuesta, de las cuales solo una será válida. La duración del examen es de cuatro horas. El resultado de la prueba de evaluación comportará la valoración de “apto” o “no apto” en cada convocatoria.

Contenido del temario

Los contenidos a evaluar en el examen de la certificación están integrados en los siguientes dominios o áreas temáticas según las ponderaciones indicadas:

Evaluadores

El grupo de evaluadores está constituido por profesionales independientes del Esquema con formación y experiencia profesional equivalente o superior al candidato a certificar, con capacidad de evaluar las pruebas. Han de garantizar la independencia de criterio, emitiendo un informe con el resultado de la evaluación en el cual se basa la decisión de concesión del certificado al candidato evaluado.

Concesión de la Certificación

Tras superar el examen, la Entidad de Certificación concederá la certificación a los candidatos que hubieran obtenido el resultado de “apto”.

Previamente el solicitante deberá aceptar expresamente el Código Ético y las Normas de Uso de la marca del certificado.

A cada persona certificada la Entidad de Certificación le asignará un número identificativo intransferible y que será utilizado en el futuro para su identificación, junto con el número identificativo de la entidad de certificación que emitió el certificado.

La Certificación se concede por un periodo de tres años salvo que la persona sea sancionada. Transcurrido ese plazo debe solicitarse la renovación de esa Certificación.

Suspensión de la Certificación

La suspensión de la Certificación puede ser:

Voluntaria

En el caso en que la persona certificada declare haber dejado de cumplir con los requisitos del Esquema, contractuales o de otro orden, su certificado dejará de estar en vigor durante un tiempo no superior a 12 meses. Para la vuelta a la condición de certificado, la entidad de certificación requerirá realizar comprobaciones encaminadas a confirmar que las causas que motivaron la solicitud de suspensión han desaparecido.

Temporal por conductas contrarias al Esquema

Esos incumplimientos podrá dar lugar a la suspensión temporal de la certificación por un período máximo de seis meses. La acumulación de tres incumplimientos podrá suponer la suspensión de la certificación por un periodo mínimo de seis meses hasta la mitad del ciclo de certificación, superada la cual se procederá a la retirada de la certificación.

Retirada de la Certificación

Serán motivos que deberán llevar a una entidad de certificación a la retirada de una certificación ya emitida, los siguientes:

  • Cualquiera de los establecidos anteriormente para la suspensión temporal, en función de su gravedad o su reiteración, como la reiteración en un tipo concreto de incumplimiento que ya motivó una suspensión temporal, lo que implica que no se ha corregido la conducta del DPO.
  • La suspensión de la certificación por un periodo superior a la mitad del ciclo de certificación.
  • La falta de colaboración de la persona certificada para la devolución del certificado en caso de sanción.

Para la vuelta a la condición de certificado, la persona afectada deberá someterse a un proceso de certificación inicial completo. La Entidad de Certificación podrá requerir a la persona que, previamente a someterse a la evaluación, evidencie haber resuelto las causas que llevaron a la retirada del certificado anterior sin que ello pueda ser considerado como trato discriminatorio.

¿Quieres certificarte como Delegado de Protección de Datos? Pues no pierdas tiempo y solicítalo ya, el RGPD ya está aquí.

Esquema de certificación de DPO de la AEPD
4.1 (82.11%) 19 votos