Les condicions necessàries i específiques que s’han de produir per a l’establiment de la figura del Delegat de Protecció de Dades (DPD) en les empreses que ho precisen.
1. La figura del Delegat de Protecció de Dades (DPD):
Amb la publicació al Butlletí Oficial del Principat d’Andorra la Llei 29/2021 (Llei de Protecció de Dades personals), de 28 d’octubre, qualificada de Protecció de Dades personals, s’introdueix la figura del DPD; la persona encarregada de notificar a l’entitat responsable o al Responsable del Tractament sobre les obligacions legals que aquest presenta en l’àmbit de la Protecció de les Dades. Així mateix, el DPD ha d’ assegurar i supervisar el compliment de la normativa al respecte, cooperar amb l’entitat de control i ser el punt de connexió entre ambdues; l’entitat responsable i l’entitat de control.
També cal tenir en compte que el Delegat de Protecció de Dades és un dels eixos principals del principi de responsabilitat proactiva. Igualment, per a més informació ampliada sobre la figura del delegat de protecció de dades, els seus requisits i funcions, pot visitar el blog dedicat a la nostra pàgina web.
2. Les empreses que han de nomenar un Delegat de Protecció de Dades
Tant les empreses o organitzacions privades com, les administracions i/o entitats públiques han de anomenar un Delegat de Protecció de Dades.
Administracions públiques, organismes autònoms i entitats parapúbliques
Si ets una administració pública, un organisme autònom o una entitat parapública es trobes amb l’obligació de designar el Delegat de Protecció de Dades (DPD). Resten expressament exclosos d’aquesta obligació els tribunals que actuen en exercici de la seva funció judicial.
Empreses o organitzacions privades
Si ets una empresa o organització privada, hauràs de designar un DPD si:
- Els tractaments de dades personals que realitzes requereixen d’una avaluació sistemàtica i exhaustiva d’aspectes personals basada en un tractament automatitzat. És a dir, quan es produeix una anàlisi preestablerta, organitzada i metòdic dels aspectes personals de les persones tractades, on els mitjans tecnològics (i no els éssers humans) prenen decisions en base a les dades introduïdes en un sistema. Per exemple:
- Elaboració de perfils de solvència
- Elaboració de perfils de rendiment laboral
- Recollida de dades i metadades a través de xarxes, aplicacions o en zones d’accés públic
- Processament d’identificadors únics que permetin la identificació d’usuaris de serveis de la societat de la informació (serveis web, TV, interactiva, aplicacions mòbils, etc.).
- Tractes categories especials de dades personals a gran escala. Aquelles que, amb el seu tractament, poden revelar:
- l’origen ètnic o racial,
- les opinions polítiques,
- conviccions religioses o filosòfiques o d’afiliació sindical,
- les dades genètiques,
- les dades biomètriques destinades a identificar de manera unívoca una persona física,
- les dades relatives a la salut o
- les dades relatives a la vida sexual o l’orientació sexual d’una persona física
- Si tractes aquest tipus de dades a la teva entitat i, a més, ho fas a gran escala, hauràs de designar el DPD:
- Quan realitzes tractaments de dades personals d’una quantitat considerable de dades personals d’àmbit nacional o supranacional que poden afectar un gran nom d’interessats. Haurem de tenir en compte 4 aspectes: el nombre d’afectats, el tipus i volum de dades recollides, l’abast geogràfic i la durada del tractament.
- El concepte “considerable” cal extrapolar-lo a la realitat del país i al volum total de població potencialment afectada.
- Quan pugui comportar un alt risc per als drets i llibertats de les persones interessades. Principalment, als drets a la protecció de dades i a la intimitat, com, per exemple:
- Tractaments que poden donar lloc a problemes de discriminació, usurpació d’identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la pseudonimització o qualsevol altre perjudici econòmic o social significatiu;
- Tractaments en l’elaboració de perfils, en particular l’anàlisi o la predicció d’aspectes referits al rendiment a la feina, situació econòmica, salut, preferències o interessos personals, fiabilitat o comportament, situació o moviments, per crear o utilitzar perfils personals.
- Si la teva activitat principal consisteix en el tractament de dades de subjectes vulnerables, en risc d’exclusió social i/o menors de 14 anys que mereixen una protecció específica.
Recorda! Les dades de contacte del DPD s’han de comunicar a l’Agència Andorrana de Protecció de Dades (APDA) en el termini de deu dies hàbils següents a la data del seu nomenament.
No dubti en contactar amb Andorra Tarinas, en cas de necessitar ajuda. El nostre equip de professionals l’assessorarà.