La Universidad de las Islas Baleares designó el día 15 de mayo de 2018 a la Sra. Catalina A. Pou Rayas, letrada y asesora del Servicio Jurídico de la UIB, como delegada de protección de datos (Data Protection Officer, DPO).
La DPO es una especialista independiente que vela por que se cumpla la normativa vigente en materia de protección de datos en la Universidad y se respeten los derechos y libertades de las personas en este ámbito y, además, asesora e informa a la institución y apoya en todo lo relacionado con estos aspectos.
Hemos hablado con Caty Pou para entender un poco más la tarea que le han encomendado.
¿Qué perfil y qué funciones asumes como delegada de protección de datos, DPO, de la UIB?
Como DPO de la Universidad mi principal responsabilidad es observar, evaluar y organizar la gestión de los datos personales y, por tanto, la protección de estos datos. En este sentido, se debe controlar cómo se protegen estos datos y conocer a la perfección la normativa aplicable. A partir de aquí, las tareas son muy amplias, y como mínimo, son las siguientes:
–Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones y de otras disposiciones de protección de datos.
– Supervisar el cumplimiento de lo dispuesto en el Reglamento, la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
– Ofrecer el asesoramiento interno que se pida sobre la evaluación de impacto relativa a la protección de datos.
– Cooperar con la Agencia Española de Protección de Datos (AEPD).
– Valorar las solicitudes de ejercicio de derechos de los interesados (derechos de acceso, rectificación, cancelación, oposición, supresión, portabilidad y limitación del tratamiento).
Las funciones concretas de la DPO de la Universidad se pueden encontrar en la sede electrónica de la UIB: <https://seu.uib.cat/LOPD/>.
¿Qué objetivos te has fijado como DPO para esta etapa tan importante para la protección de datos?
El objetivo fundamental es informar, y difundir como DPO los cambios normativos y todos los requerimientos legislativos que recoge el Reglamento, desarrollar funciones de asesoramiento a los responsables y encargados del tratamiento, funciones de consulta e interlocución con la Agencia de Protección de Datos, etc.
En este sentido, se están revisando los tratamientos de datos que se realizan (los servicios, departamentos, facultades, grupos de investigación y cualquier instancia de la UIB), para ver en qué casos debe elaborarse, o no, una evaluación de impacto de la protección de datos. Igualmente se están revisando los contratos responsable-encargado del tratamiento y las cláusulas informativas que se utilizan con los titulares de los datos.
Se han publicado en la sede electrónica de la UIB leyendas informativas, modelos de consentimiento y acuerdos de confidencialidad, formularios normalizados de ejercicio de derechos, un catálogo de funciones y obligaciones del personal al servicio de la Universidad, etc.
¿Cuáles son las novedades más destacadas de este nuevo reglamento?
1. Se establecen nuevos principios: transparencia (Registro de actividades de tratamiento), limitación de la finalidad y minimización de datos.
2. Se establecen nuevos principios: transparencia (Registro de actividades de tratamiento), limitación de la finalidad y minimización de datos.
3. Se amplía el deber de información.
4. La forma de obtención del consentimiento: será explícita y mediante una declaración del interesado o una acción positiva que manifieste su conformidad.
5. Establecimiento de acciones y medidas de seguridad.
6. Obligación de realizar evaluaciones de impacto para determinar el cumplimiento normativo.
7. Se establecen nuevas notificaciones a la autoridad de control: las violaciones de seguridad de los datos.
8. Se crea la figura del delegado de protección de datos.
9. Se introduce el concepto de «ventanilla única», para que los ciudadanos interesados puedan efectuar trámites, aunque estos afecten autoridades en la materia de otros Estados miembros de la UE.
10. Se incrementa la cuantía de las sanciones (en el caso de las universidades la sanción no es económica, pero puede causar un desprestigio a la institución).
¿El responsable de protección de datos es una figura preventiva o correctiva?
El responsable de protección de datos debe adoptar medidas preventivas, controlar qué pasa, detectar anomalías y mejorar el proceso, en el que las medidas no son estáticas. Debe estar al día de las actualizaciones y los sistemas. Debe informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD. Además, es muy importante tener un plan de acción cuando se sufre una violación de seguridad de los datos, para reaccionar a tiempo y revertir el daño lo antes posible.
Desde el 25 de mayo es directamente aplicable el RGPD y no hay nueva Ley orgánica de protección de datos, ¿qué pasa, pues, ahora?
En el caso que me propones, el Reglamento europeo será de directa aplicación en todos los términos y todos los destinatarios, sin necesidad de ninguna ley de transposición.
En este sentido, el Reglamento no deroga por sí mismo las normas nacionales, sino que las desplaza, es decir, aunque no haya nueva LOPD, no se produce un vacío normativo, el RGPD es de directa aplicación en todos sus términos y desplaza las normas nacionales en lo que se opongan al Reglamento.
Por poner dos ejemplos prácticos, el Reglamento dice que ya no es necesario inscribir los ficheros en la Agencia Española de Protección de Datos, de esta manera la regulación que se refiere a la inscripción de ficheros en la LOPD queda desplazada, dado que ya no habrá inscribir los ficheros, porque ahora se deberá llevar a cabo un registro de actividades de tratamiento interno.
La LOPD se refiere sólo a los derechos de acceso, rectificación, cancelación y oposición. En este sentido, el RGPD añade nuevos derechos de los ciudadanos como el derecho a la portabilidad, el derecho de supresión (o derecho al olvido), antes llamado derecho de cancelación, y el derecho a la limitación del tratamiento, derechos que ahora se tienen que prever.
Finalmente, ¿consideras que el PDI y el PAS están «conscienciados» en cuanto a la importancia de la protección de datos?
Hay colectivos que desde hace años han recibido formación continua e información en materia de protección de datos, y por los puestos de trabajo que ocupan están más sensibilizados.
Otros colectivos, a raíz de la aplicación directa del Reglamento europeo, han mostrado más interés por adaptarse a estos nuevos requerimientos legislativos.
Lo que debe quedar claro es que quien no respete la normativa en materia de protección de datos, en especial los responsables y los encargados del tratamiento, se expone a una sanción, que, en el caso de las universidades, de conformidad con el proyecto de LOPD, será una advertencia. Además, la resolución se establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se haya cometido. Finalmente, la autoridad de protección de datos podrá proponer también el inicio de actuaciones disciplinarias.
Por tanto, la idea de que debe quedar patente es que se requiere implicación, coordinación y cooperación con el DPO por parte de todo el personal de la Universidad, respetando la protección de los datos personales como derecho fundamental que es.
¿Dónde nos podemos dirigir en caso de tener una duda sobre protección de datos?
Puede ponerse en contacto conmigo misma en la dirección <caty.pou@uib.es>.
Fecha de publicación: 20/06/2018