Entra en vigor la nueva Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales

Se ha aprobado la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, que adapta el derecho español al modelo establecido por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 , introduce novedades mediante el desarrollo de materias contenidas en el mismo.

Una de las materias desarrolladas es el de la designación de delegado de protección de datos DPD/DPO, lo cual tiene incidencia sobre la política de Protección de Datos de los centros médicos como se mostrará en el texto del Nuevo Reglamento.

Para los asociados de ASAPCV, dado el papel de colaborador de la Consultoría Kdermet, esta ofrece un servicio de DPD/DPO con certificado bajo el esquema de la Agencia Española de Protección de Datos. Mediante un contrato de servicios externo para las entidades interesadas, por el hecho de ser asociados a ASAPCV se ofrece el 20% en la Adecuación al RGPD.

Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales

Según lo que se desprende de la recién aprobada Ley Orgánica de Protección de Datos Personales y

Garantías de los Derechos Digitales. En el CAPITULO III, Delegado de Protección de Datos, el cual profundiza, sobre el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, una de las materias que desarrolla es todos los sectores que tienen la obligación de designar un DPD/DPO.

CAPITULOIII

Delegado de protección de Datos

Artículo 34. Designación de un delegado de protección de datos:

1 Los Responsables y Encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento UE 2016/679 y, en todo caso cuando se trate de las siguientes entidades:

Y entre otros está el punto l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

A tener en cuenta que la designación del DPD, sea interno “empleado de la entidad” o externo con un contrato de servicios, se requiere, que en un máximo de 10 días sea comunicado a la Agencia Española de Protección de Datos, la AGPD mantendrá un listado actualizado de los DPD nombrados por las entidades públicas y privadas.

Artículo 35.Cualificación del delegado de protección de datos:

En cumplimiento del artículo 37.5 del Reglamento UE 2016/679 para la designación del delegado de protección de datos con la recomendación de la certificación personal del DPD. La certificación se otorgara por el IVAC Instituto de Certificación, entre otros, acreditados por el ENAC, basado en el esquema de acreditación de la Agencia Española de Protección de Datos.

Artículo 36. Posición del delegado de protección de datos:

Este punto es interesante puesto que en el apartado 1 nos indica que el DPD actuará como interlocutor del responsable o encargado de tratamiento ante la agencia de Protección de Datos y las autoridades autonómicas de protección de datos.

Artículo 37.Intervencion del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos. (Este artículo es muy interesante puesto que resulta que el DPD puede tramitar una reclamación, evitando el inicio de un procedimiento por la Agencia de protección de datos)

En el apartado 1, nos dice que el afectado podrá, con carácter previo a la presentación de una reclamación contra aquellos (Responsables o Encargados) ante la AGPD, dirigirse al DPD, el cual dispondrá de hasta dos meses para solucionar la cuestión.

En el apartado 2 nos indica que aunque el afectado, presente una reclamación ante la AGPD, la misma en vez de iniciar un procedimiento, se dirigirá al DPD de la entidad a fin de que este responda en el plazo de un mes la reclamación del afectado. Estamos ante una” oportunidad mediadora, que no sancionadora”.

Artículo 65. Admisión a trámite de las reclamaciones.

El punto 4

Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado de tratamiento. Estamos ante una” oportunidad mediadora, que no sancionadora”.

TITULO IX

Régimen Sancionador

Artículo 73. Infracciones consideradas graves.

En función de lo que establece el artículo 83.4 del Reglamento UE 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquél, y en particular las siguientes.

Vengo a señalar que entre muchas señalo las siguientes que me parecen más a tener en cuenta, siendo las siguientes:

  1. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforma a lo establecido en el capítulo IV del Reglamento UE2016/679.
  2. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento UE2016/679 y el artículo 34 de esta ley orgánica.

Pueden consultar la Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales, en este enlace.

2018-11-29T17:56:21+00:00