L'empresa IVAC-Institut de Certificació S.L., allotjada en el Parc Científic de la Universitat de València, és una de les quatre empreses autoritzades per l'Agència Espanyola de Protecció de Dades (AEPD) per a emetre els certificats de la nova figura del Delegat de Protecció de Dades.
Aquest càrrec, conegut popularment com DPO (en anglès, Data Protection Officer), constitueix un dels elements claus del nou Reglament Europeu de Protecció de Dades que entrarà en vigor el pròxim 25 de maig. La seua funció serà la de garantir el compliment de la normativa de la protecció de dades en les organitzacions, sense substituir les funcions que desenvolupen les autoritats de control.
Segons el Reglament Europeu 2016/1979, el DPO serà obligatori per a autoritats i organismes públics; entitats que requerisquen observació habitual i sistemàtica d'interessats a gran escala; entitats que tracten amb categories especials de dades (art.9) i aquelles que manegen dades relatives a condemnes i infraccions penals (art.10).
"No obstant açò, a l'espera del text definitiu de la Llei de Protecció de Dades, que s'actualitzarà atenent al reglament europeu, altres empreses podran tenir també l'obligació de comptar amb un Delegat de Protecció de Dades. Podran ser col·legis professionals; centres docents; prestadors de serveis en la societat de la informació que tracten a gran escala amb perfils d'usuaris; asseguradores; i entitats responsables de fitxers comuns per a la gestió i prevenció del frau, entre d'altres", ha explicat Sandra Ausell, tècnica jurídica d'IVAC i avaluadora del certificat de DPO.
Amb la finalitat de generar confiança en els ciutadans, que són els propietaris de les seues dades personals, l'Agència Espanyola de Protecció de Dades ha impulsant juntament amb Entitat Nacional d'Acreditació (ENAC) un esquema de certificació com a Delegat de Protecció de Dades, que en aquests moments poden emetre quatre empreses espanyoles, entre elles la valenciana.
L'AEPD demana proactivitat
En aquesta línia, Sandra Ausell especifica que "si bé aquesta certificació com a DPO és totalment voluntària i per al seu exercici no és necessari posseir-la, el fet d'obtenir-la suposa una garantia tant de la competència professional definida per l'Agència. També és recomanable per a poder demostrar la proactivitat duta a terme per l'empresa a l'hora de triar al seu delegat".
IVAC té previst llançar la primera convocatòria d'examen de certificació de futurs DPO el pròxim 9 de juny. Els candidats hauran de complir almenys un d'aquests requisits:
• 5 anys d'experiència en funcions de protecció de dades
• 3 anys d'experiència i una formació reconeguda de 60 hores en matèries objecte de l'esquema de l'AEPD
• 2 anys d'experiència i 100 hores de formació reconeguda en matèries objecte de l'esquema de l'AEPD.
• 180 hores de formació en matèries objecte de l'esquema de l'AEPD en el cas que no dispose d'experiència.
Pel que fa a aquests condicionants, Ausell subratlla que "no és vàlida tota la formació realitzada en matèria de protecció de dades, sinó solament aquella que complisca amb els requisits establits en l'esquema de l'AEPD; és a dir, la formació ha de cobrir totes les matèries del programa establit en l'esquema així com la distribució horària indicada en el mateix, ha de ser teòrica i pràctica i l'acreditació de la qual no pot consistir en la mera presència en el curs, sinó que s'ha d'aprovar un examen”. "Si bé l'experiència pot haver sigut adquirida amb anterioritat a 2016, la formació ha d'haver-se desenvolupat a partir de l'any 2016 en ser l'única que pot contemplar la totalitat del temari objecte de l'esquema", remarca la tècnica jurídica.
L'examen
Pel que fa a l'examen de certificació del DPO, aquest consistirà en 150 preguntes tipus test amb quatre opcions de resposta i una única opció correcta. Per a aprovar-ho, s'haurà de superar el 75% de les preguntes de l'examen, la qual cosa correspon a l'obtenció de 113 punts en el mateix.
El DPO podrà ser intern o extern a l'organització, empresa o entitat; però sí, en tot, ha de ser persona física o jurídica especialitzada en aquesta matèria. Necessiten o no la figura del DPO, totes les organitzacions, empreses i entitats hauran d'haver mostrat a l'Agència Espanyola de Protecció de Dades una actitud conscient, diligent i proactiva pel que fa als tractaments de dades personals que duguen a terme.
Etiquetes: