Designación y posición de los DPD

El Comité Europeo de Protección de Datos (CEPD) ha divulgado los hallazgos de su última acción centrada en la evaluación del rol y designación de los delegados de protección de datos (DPD) tanto en el ámbito público como en el privado.

Este análisis tiene por objetivo identificar y promover las mejores prácticas, señalar deficiencias y emitir recomendaciones que refuercen la posición y eficacia de los DPD, figuras clave en la interacción entre las autoridades supervisoras, la ciudadanía y las organizaciones. En el estudio participaron 25 autoridades nacionales de protección de datos, cubriendo sectores tan diversos como la educación, la banca, la salud, la energía, la seguridad, las telecomunicaciones, el crédito y los juegos de azar.

El informe destaca varias recomendaciones:

  • Designación de DPD: Se urge a las autoridades a fomentar la concienciación sobre la obligación de designar DPD, proveyendo guías y realizando campañas de sensibilización.
  • Recursos para DPD: Los organizadores deben asegurar que los DPD dispongan de los medios necesarios para cumplir con sus funciones de manera efectiva, incluyendo la verificación del número de clientes que un DPD externo pueda tener.
  • Formación de DPD: Se recomienda proveer formación adicional a los DPD, adaptada a las necesidades específicas y mantener su formación al día.
  • Independencia de los DPD: Se debería promover una clara separación de funciones para evitar conflictos de interés, y garantizar que los DPD puedan actuar con independencia dentro de las organizaciones.
  • Mecanismos de reporte: Se sugiere mejorar los mecanismos mediante los cuales los DPD reportan a los niveles más altos de la organización, estableciendo estándares y políticas internas claras.

Ver análisis completo: https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

Modelo de contrato entre responsable y encargado conforme a la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021

De conformidad con el artículo 28, apartado 6, del RGPD, un responsable y un encargado de tratamiento pueden optar entre, bien negociar un contrato individual que contenga los elementos obligatorios establecidos en el artículo 28, apartados 3 y 4, del RGPD, o bien utilizar, total o parcialmente, las cláusulas contractuales tipo que fije la Comisión con arreglo al artículo 28,
apartado 7, del RGPD.

Pues bien, el pasado 7 de junio de 2021 se publicó en el Diario Oficial de la Unión Europea la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 mediante la que se fijan estas cláusulas contractuales tipo para los contratos entre responsables y encargados del tratamiento. Es importante destacar que el responsable y el encargado del tratamiento deben tener discrecionalidad para incluir en un contrato más amplio las cláusulas contractuales tipo establecidas en la presente Decisión, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, a las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Las obligaciones contractuales que tengan el responsable o el encargado de garantizar el respeto de los privilegios e inmunidades que sean de aplicación en nada se oponen a la utilización de las cláusulas contractuales tipo.

En base a estas cláusulas contractuales tipo hemos desarrollado un modelo de contrato entre responsable y encargado del tratamiento en formato Word: Modelo de contrato entre responsable y encargado.docx