¡Comparte en redes sociales!

La formación en protección de datos como obligación legal

En este post vamos a encuadrar legalmente una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD: la formación.

Todos solemos recomendar la formación como medida transversal para mitigar riesgos y aconsejamos a nuestros clientes que realicen formación y concienciación en materia de protección de datos y de seguridad de la información, pero ¿por qué? Si no lo exige directamente el RGPD, ¿cuál es su fundamento entonces?

Son varias las razones que pasamos a exponer a continuación:

Medidas organizativas y técnicas:

La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.

El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)

Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que estas se escogerán en función de un análisis de riesgos.

Así, la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, recomienda constantemente la formación como control para mitigar riesgos y no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.

Principio de Responsabilidad Proactiva:

El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.

la formación en protección de datos como obligación legal

Políticas de Protección de Datos:

El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

La adopción de políticas y normas internas dirigidas al personal empleado, tanto con carácter general como focalizadas en relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo. Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos

Funciones del Delegado de protección de Datos (DPD):

El art. 39.2 del RGPD establece entre las funciones del DPD:

“Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento y que, en caso de tener designado un DPD, será asumida por éste.

Derecho a la desconexión digital

Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Vemos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma

Por todo ello y en conclusión, la formación se convierte una medida esencial vertebradora y transversal del cumplimiento de la normativa de protección de datos en cualquier organización.

Elías Vallejo

Consultor Senior en Protección de datos y Compliance Penal.

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Blog Master Dpo

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.