Nombramiento del Delegado de Protección de Datos y datos de contacto

INSTRUCCIÓN DEL CONSORCIO UNED EN CÁDIZ POR LA QUE SE DESIGNA Y SE DISPONE EL RÉGIMEN DE FUNCIONAMIENTO DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD)

EL CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ

Visto el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPGDD), teniendo en consideración:

(1) El RGPD, y la LOPDGDD, que establecen los principios y normas aplicables a la persona DPD y prevén la designación por cada autoridad u organismo público de un DPD.

(2) Las Directrices sobre los delegados de protección de datos, del Grupo de Trabajo del Artículo 29 (WP243 rev.01), revisadas por última vez y adoptadas el 5 de abril de 2017, y en particular la recomendación de definir las funciones exactas del DPD y su alcance.

(3) La Decisión de 11 de diciembre de 2018 del Supervisor Europeo de Protección de Datos por la que adopta reglas de implementación relativas al DPD conforme al Artículo 45.3 del Reglamento (UE) N° 2018/1725.

(4) Las orientaciones del Consejo de Transparencia y Protección de Datos de Andalucía para la elaboración de una instrucción interna sobre el régimen de funcionamiento de la figura del DPD.

Procede a dictar la siguiente INSTRUCCIÓN por la que se dispone el régimen de funcionamiento de la persona DPD en el CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ

1. - Definiciones
A los efectos de esta INSTRUCCIÓN y sin perjuicio de las definiciones proporcionadas por el RGPD:
1. "entidad" se referirá a la CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ.

2. "responsable del tratamiento" se referirá al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ de conformidad con la definición establecida en el Artículo 4.7 del RGPD.
2. - Ámbito de Aplicación
1. La presente resolución tiene por objeto formalizar y hacer público el nombramiento de la persona Delegada de Protección de Datos (DPD) del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ, conforme a lo previsto en los artículos 37 a 39 del RGPD y 34 a 37 de la LOPDGDD. El nombramiento se realiza en cumplimiento de la obligación legal de designar un DPD en las entidades del sector público, así como para garantizar el correcto ejercicio de sus funciones de asesoramiento, supervisión y cooperación con la autoridad de control.

2. La persona designada como DPD ejercerá sus funciones respecto de todas las actividades de tratamiento de datos personales realizadas por CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ, ya sean ejecutadas directamente o por terceros en su nombre. A estos efectos, la referencia al “DPD” en esta resolución comprende tanto a la persona física designada como, en su caso, a la unidad de apoyo que pueda asignarse para facilitar el cumplimiento efectivo de sus funciones, sin perjuicio de su independencia en el ejercicio de las mismas.

3. - Designación, posición e independencia del DPD
1. La persona designada como DPD ha sido seleccionada en atención a sus cualidades profesionales y personales y acordada mediante resolución de la persona titular del órgano competente del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ.

2. De conformidad con lo previsto en el artículo 37.6 del RGPD y el artículo 34 de la LOPDGDD, el CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ, ha designado como DPD, mediante un proceso de licitación, a la empresa:

NOMBRE: PROFESSIONAL GROUP CONVERSIA, S.L.U.
CIF: B17962655
Domicilio social: AVENIDA MAS PINS, 150. PLANTA 3ª. CP: 14457.
RIUDELLOTS DE LA SELVA (GERONA)
Correo electrónico del DPD: dpd.cliente@conversia.es

3. La designación, nombramiento y cese del DPD será notificada en el plazo máximo de 10 días al Consejo de Transparencia y Protección de Datos de Andalucía y se dará a conocer a todo el personal del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ. Sus datos de contacto serán publicados en el portal web del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ, de conformidad con el Artículo 37.7 del RGPD.

4. Para garantizar su independencia funcional, se asegura que el DPD no desempeñe funciones que impliquen decisiones sobre la determinación de los fines y medios del tratamiento de datos personales. En particular, se evitará que el DPD ocupe simultáneamente puestos directivos en los que se tomen decisiones sobre tecnologías, recursos humanos o sistemas de información.

5. El DPD en el ejercicio de sus funciones como tal, actuará con plena independencia y no está sujeto a instrucciones, órdenes de servicio y recomendaciones del responsable del tratamiento ni de ningún otro órgano del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ. Para garantizar su independencia, el DPD no podrá recibir instrucciones sobre:

(a) Cómo abordar un asunto de protección de datos;

(b) Qué resultado debe alcanzar en sus análisis;

(d) Si debe consultar a la autoridad de control;

(e) Qué interpretación debe hacer de la normativa de protección de datos;

6. Sin perjuicio de las disposiciones del RGPD y LOPDGDD relativas a su independencia y funciones, el DPD informará directamente al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ, en los términos previstos del presente documento.

7. El DPD será consultado y participará de forma activa y en tiempo oportuno en todas las decisiones relacionadas con tratamientos de datos personales, incluyendo, entre otras, la puesta en marcha de nuevos tratamientos, la realización de evaluaciones de impacto o el diseño de procedimientos que impliquen el uso de tecnologías con riesgo para los derechos de las personas.

8. De acuerdo con el RGPD y LOPDGDD, el DPD solo podrá ser sancionado o destituido mediante resolución de la persona titular de la entidad, en caso de dolo o negligencia grave en el desempeño de sus funciones. Además, el DPD no podrá ser objeto de medidas desfavorables por el ejercicio de sus funciones, tales como el impedimento o retraso en la promoción profesional o la denegación de beneficios que reciba el personal del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ.

4. - Funciones del DPD.
1. El DPD podrá hacer recomendaciones y prestar asesoramiento al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ y a los encargados de tratamiento sobre asuntos concernientes a la aplicación del RGPD. Igualmente, podrá realizar informes por iniciativa propia o a solicitud del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ o de una persona que considere que el tratamiento de datos personales que le conciernen infringe la normativa de protección de datos, sobre asuntos y hechos directamente relacionados con la protección de datos y dentro del ámbito de su competencia, y dará trasladado del mismo a la persona que lo solicitó o al responsable del tratamiento, de acuerdo con el procedimiento descrito en el apartado 9 de este documento.

2. Sin perjuicio de las funciones descritas en el Artículo 39 del RGPD, el DPD:

(a) Supervisará el cumplimiento del RGPD y LOPDGDD en la entidad y emitirá un informe anual al respecto de conformidad con el apartado 7.3 de este documento, dirigido a la persona titular del responsable del tratamiento y en su caso de la entidad. La supervisión será continua, se adaptará a los cambios en la estructura organizativa y en el marco normativo y comprenderá todas las actividades de tratamiento de datos personales realizadas por la entidad, incluyendo las llevadas a cabo por encargados de tratamiento en nombre de la misma. Se extenderá a todos los aspectos del cumplimiento normativo en materia de protección de datos, incluyendo los principios del tratamiento, el ejercicio de derechos de los interesados, la seguridad de los datos, y la gestión de brechas de seguridad de datos personales;

(b) Supervisará que el inventario de actividades de tratamiento esté aprobado formalmente por CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ y públicamente accesible, de conformidad con el Artículo 31.2 de la LOPDGDD;

(c) Supervisará que el CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ informe a los interesados sobre sus derechos según el RGPD y LOPDGDD en el contexto de las actividades de tratamiento;

(d) Supervisará que exista en el CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ una política de protección de datos y asesorará a la misma en la elaboración y mantenimiento de dicha política de protección de datos que deberá contemplar el principio de protección de datos desde el diseño y por defecto y ser aprobada;

(e) Asesorará al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ en la gestión de las solicitudes de ejercicios de derechos en materia de protección de datos de las personas interesadas y en la elaboración de los protocolos o procedimientos para dar respuesta a las mismas;

(f) Asistirá al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ en la preparación y actualización de sus registros de actividades de tratamiento;

(g) Asistirá al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ en la evaluación de los riesgos para los derechos y libertades de las personas físicas que entrañen las actividades de tratamiento bajo su responsabilidad.

(h) Asesorará sobre la necesidad de la realización de una evaluación de impacto relativa a la protección de datos (EIPD) prevista en el Artículo 35 del RGPD, consultando en caso de duda al Consejo de Transparencia y Protección de Datos de Andalucía y supervisando su aplicación;

(i) Asesorará sobre qué metodología usar en la EIPD y contribuirá a seleccionar las medidas de protección a aplicar para mitigar los riesgos para los derechos y libertades de los interesados, así como sobre la correcta implementación de la EIPD;

(j) Asesorará al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ, cuando se le solicite, respecto a la necesidad de notificar o de comunicar una brecha de la seguridad de los datos personales prevista, respectivamente, con los Artículos 33 y 34 del RGPD. Igualmente, asesorará sobre el modo de gestionarla y las medidas que podrían aplicarse para evitar vuelvan a producirse;

(k) Asesorará al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ para promover que los derechos y libertades de los interesados no se vean afectados negativamente por las actividades de tratamiento de datos personales;

(l) Asesorará al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ en materia de protección de datos en la elaboración de disposiciones normativas de carácter general;

(m) Asistirá al CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ en el desarrollo de programas de formación en materia de protección de datos y en promover una cultura de protección de datos personales desde el diseño y responsabilidad proactiva dentro de la entidad;

(n) Cooperará con el Consejo de Transparencia y Protección de Datos de Andalucía y actuará como interlocutor del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ ante el mismo;

(o) Formulará en nombre del CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ la consulta previa al Consejo de Transparencia y Protección de Datos de acuerdo con los Artículos 36 y 39.1.e del RGPD;

(p) Actuará como punto de contacto de las personas interesadas en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales;

(q) Recibirá, de conformidad con el Artículo 37.1 de la LOPDGDD, las reclamaciones que los interesados decidan presentar contra la entidad con carácter previo a su presentación ante el Consejo de Transparencia y Protección de Datos y en el plazo máximo de dos meses a contar desde su recepción comunicará al afectado la decisión que se haya adoptado;

(r) Remitirá la respuesta elaborada por el CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ con su asesoramiento en el plazo de un mes a las reclamaciones remitidas por el Consejo de Transparencia y Protección de Datos de Andalucía de conformidad con el Artículo 37.2 de la LOPDGDD;

3. El DPD estará obligado a mantener el secreto y la confidencialidad en lo que respecta al desempeño de sus funciones. Esta obligación:

(a) Comprenderá toda la información a la que tenga acceso en el ejercicio de su cargo, en particular a los datos personales de los interesados, a la información sobre los tratamientos de la entidad y sobre brechas de seguridad de los datos personales;
(b) Persistirá incluso después de haber cesado en el ejercicio de sus funciones en la entidad;
(c) No impedirá al DPD comunicarse con el Consejo como autoridad de control en el ejercicio de sus funciones de cooperación y punto de contacto;

4. El DPD desempeñará sus funciones estableciendo prioridades según la gravedad y probabilidad y de los distintos riesgos para los derechos y libertades de las personas físicas asociados a los tratamientos de la entidad. Esta priorización se aplicará en particular para determinar:

(a) La asignación de tiempo y recursos a las diferentes operaciones de tratamiento;

(b) Los ámbitos que requieren auditorías de protección de datos;

5. Sin perjuicio de la independencia del DPD, la persona titular de la entidad podrá solicitar al DPD que represente a la misma en cualquier asunto relacionado con la aplicación interna de las disposiciones del RGPD y LOPDGDD, incluida la participación en comités, grupos de trabajo o similares a nivel interinstitucional, siempre que las decisiones y asunción de compromisos sean del responsable del tratamiento, evitando así cualquier conflicto de intereses del DPD.

6. Además de sus funciones dentro de la entidad, el DPD cooperará con los DPD de otras instituciones y organismos públicos en el desempeño de sus funciones, en particular mediante el intercambio de experiencias y mejores prácticas y podrá participar en redes de colaboración y actividades organizadas por otras entidades especializadas en materia de protección de datos y privacidad.

5. – Potestades
1. En el desempeño de sus funciones y sin perjuicio de lo establecido en el RGPD y LOPDGDD, el DPD:
(a) Podrá, en caso de desacuerdo con el personal de CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ sobre la interpretación o implementación del RGPD o LOPDGDD, informar al nivel de gestión competente y a la persona titular del responsable del tratamiento antes de remitir el asunto a la persona titular de la entidad, salvo coincidencia de estas últimas;

(b) Podrá, después de informar a CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ y de sugerir medidas de seguridad para prevenir incidentes similares en el futuro, llevar a la consideración de la persona titular de la entidad cualquier incumplimiento del personal de la entidad de las obligaciones establecidas en el RGPD y LOPDGDD y de aquellos procedimientos internos de la entidad específicamente relacionados con la materia de protección de datos;

(d) Podrá tener acceso en todo momento a los datos personales y a las operaciones de tratamiento y a todas las oficinas, instalaciones de procesamiento de datos y soportes de datos, incluidos los de los encargados de tratamiento de la entidad;

(e) Contará con el apoyo y asistencia de los servicios informáticos de la entidad, incluidos los proporcionados a la misma por organizaciones externas.

(f) El DPD participará en las reuniones del Comité de Seguridad de la entidad siempre que se recojan asuntos relacionados con el tratamiento de datos personales en el orden del día. Igualmente.

2. En el ejercicio de sus competencias, el DPD podrá realizar consultas al Consejo de Transparencia y Protección de Datos de Andalucía y tendrá en consideración la jurisprudencia relevante en materia de protección de datos, especialmente la emanada del Tribunal de Justicia de la Unión Europea, del Tribunal Europeo de Derechos Humanos y de los Tribunales nacionales. Asimismo, tendrá en cuenta las resoluciones, informes, directrices y otros documentos emitidos por el Comité Europeo de Protección de Datos, este Consejo y el resto de autoridades de control en la materia.

3. Sin perjuicio de las normas de confidencialidad y seguridad aplicables, todo el personal de la entidad asistirá al DPD en el desempeño de sus funciones y proporcionará la información que pudiera solicitarse por este, relacionada con el ejercicio de sus funciones.

6. – Recursos humanos, técnicos y económicos
1. CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ garantizará que la persona o empresa designada como DPD disponga de los recursos humanos, técnicos y económicos adecuados para el correcto desempeño de sus funciones, incluyendo el acceso a la información, documentación, interlocutores y medios necesarios para ejercer su labor de forma efectiva e independiente.

2. La dotación de recursos deberá atender a criterios objetivos como la sensibilidad, complejidad y volumen de los datos tratados; el número de actividades de tratamiento; el nivel de digitalización; el alcance geográfico de la entidad; la intensidad del uso de tecnologías avanzadas, así como los riesgos potenciales para los derechos y libertades de las personas.

3. La entidad facilitará al DPD el acceso a la formación necesaria y la actualización permanente de conocimientos, tanto jurídicos como técnicos, en materia de protección de datos, en caso de que así lo requiera el proveedor externo o la persona delegada.

7. - Entrada en vigor

1. Esta INSTRUCCIÓN entrará en vigor el día de su adopción.

2. Después de entrar en vigor, esta INSTRUCCIÓN será publicada en portal de transparencia de CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ y se dará a conocer a todo el personal de la entidad.

CONSORCIO UNIVERSITARIO DE CENTRO ASOCIADO A LA UNED EN CÁDIZ