Preguntas frecuentes DPD

/Preguntas frecuentes DPD
Preguntas frecuentes DPD2018-10-11T18:29:27+00:00

El certificado de Delegado de Protección de datos bajo el esquema aprobado por la AEPD.

Deberás completar una solicitud firmada y enviarla a dpd@ivac.es junto con tu CV, copia de tu DNI, el documento curricular normalizado, la tabla de equivalencias del programa formativo, las evidencias de toda la información consignada en la solicitud y el justificante de pago de la tasa.

Porque el RGPD permite que existan sellos o certificaciones en materia de protección de datos como instrumentos válidos para demostrar el cumplimiento de sus disposiciones, siendo competente la AEPD para autorizar su expedición.

IVAC es una Entidad de Certificación acreditada por ENAC, con número de acreditación 20/C-PE034, y con autorización definitiva por la AEPD conforme a lo previsto en el esquema AEPD-DPD para certificar Delegados de Protección de Datos.

Puedes comprobar la designación oficial aquí

No, la certificación es voluntaria, pero es muy recomendable pues los responsables de tratamiento deberán acreditar y documentar la decisión sobre la designación de un DPD que cumpla las exigencias del RGPD con el fin de demostrar y garantizar la accountability o responsabilidad proactiva.

Sí, deberás contar con experiencia y/o formación reconocida en protección de datos (prerrequisitos) y superar un examen alcanzando una puntuación mínima.

Se requiere* evidenciar, en materia de protección de datos:

  • 5 años de experiencia
  • 3 años de experiencia y 60 horas de formación reconocida
  • 2 años de experiencia y 100 horas de formación reconocida
  • 180 horas de formación reconocida

*existen reglas especiales para computar la experiencia. Consúltanos.

La experiencia podrá ser en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos.

Deberás aportar evidencias de los proyectos o las jornadas laborales que hayas desarrollado hasta ahora en protección de datos.

Podrás aportar  certificados emitidos por los clientes, contratos, facturas, o cualquier elemento similar de tercera parte mediante los cuales puedas acreditar tu experiencia. Siempre de terceros.

La documentación aportada deberá permitir computar la experiencia de 2, 3 ó 5 años, equivalente a una jornada completa con dedicación exclusiva a la protección de datos.

Sí, antes del 2016 se valorará tu experiencia con la normativa vigente en dicho momento. A partir de 2016, tras ser aprobado, podrás acreditar experiencia en el RGPD.

Sí, la experiencia puede ser a escala nacional o en cualquier país de la Unión Europea.

No servirá cualquier formación.

Únicamente la formación reconocida de 60, 100 o 180  horas en relación con las materias incluidas en el programa del Esquema.

  • Que la materia impartida se corresponde con el programa definido en el Esquema.
    • Dominio 1 NORMATIVA GENERAL DE PROTECCIÓN DE DATOS.
    • Dominio 2 RESPONSABILIDAD ACTIVA.
    • Dominio 3: TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS Y OTROS CONOCIMIENTOS.
  • Que para aprobar el curso se deba superar un examen (no basta con justificar la asistencia a la formación).
  • Que la metodología didáctica incluya:
    • Conocimientos teóricos,
    • Realización de ejercicios prácticos y
    • desarrollo de ejercicios en grupo.
  • Que la distribución de las horas de los programas de formación sigua el mismo porcentaje establecido para cada uno de los dominios del programa del Esquema.
    • Curso de 60horas: D1 (30h) D2 (18) D3 (12h)
    • Curso de 100 horas: D1 (50h) D2 (30) D3 (20h)
    • Curso de 180 horas D1 (90) D2 (54) D3 (36)
  • Que las personas que lo impartan sean profesionales independientes del esquema con conocimientos y experiencia profesional equivalente o superior a la exigida al candidato a certificar y con capacidad de valorar la capacitación de los alumnos.
  • Que la entidad emita un certificado al alumno con el contenido mínimo especificado en  el esquema AEPD-DPD.

Solamente se puede reconocer formación anterior a 2016 de los dominios D2 y D3. Si el Master tenía contenidos relativos al dominio 1 estos no se podrán reconocer.

Pues depende de qué requisito no cumple:

  • Si no cumple materia impartida/porcentaje en cada dominio: deberás completar la parte de programa que no se haya impartido. Recuerda que puedes hacer un único curso o acumular varios siempre que hayas recibido como mínimo las horas exigidas para cada dominio en estudiando todas la materias del programa.
  • Si no has superado el curso mediante un examen: No podremos reconocer está formación y por tanto note servirá para acreditar los prerrequisitos.
  • Si no se ha empleado la metodología didáctica exigida: No podremos reconocer está formación y por tanto note servirá para acreditar los prerrequisitos.

Cualquier entidad de formación interesada en crear programas formativos en materia del RGPD y el DPD, a efectos de garantizar al consumidor el cumplimiento de los prerrequisitos para obtener la certificación como DPD, podrá acudir a IVAC, como agente del esquema designado para reconocer estos programas, y se podrá reconocer la formación de 60, 100 y 180 horas exigidos si se cumplen los requisitos fijados en el esquema:  programa, metodología, competencia del profesorado, contenido del certificado emitido, método de validación y porcentaje de horas de cada dominio.

Es un examen tipo test de 150 preguntas con cuatro opciones con una única respuesta correcta. No restan las respuestas incorrectas. Incluyen preguntas teóricas y de escenario.

Sí, la AEPD nos ha pasado ejemplo de los tipos de pregunta que compondrán el examen, que podrán ser teóricas o de escenario.

PREGUNTAS DE EJEMPLO

 DOMINIO 1

o Teórica

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales a que se refiere el Reglamento General de Protección de Datos.

a) Solo en el caso c)
b) En los casos a) y b)
c) En los casos b) y c)
d) En los tres casos a), b) y c)

o Escenario

El DPD de una empresa recibe la consulta del responsable de la misma sobre la posibilidad de que los superiores jerárquicos tengan acceso al correo corporativo de los trabajadores. ¿Qué debería responder el DPD?

a) El empresario necesita informar a los trabajadores de que va a existir ese control y obtener el consentimiento de cada uno de ellos, ya que se trata de un procedimiento de control de la actividad de los trabajadores en el ámbito del derecho laboral y amparado por el Estatuto de los Trabajadores.
b) El empresario puede informar e implantar un control sobre el uso del ordenador que realizan sus trabajadores, incluyendo el acceso al email y a las direcciones web visitadas siempre que la empresa haya establecido previamente las reglas de uso.
c) Este procedimiento de control de la actividad de los trabajadores en el ámbito del derecho laboral no tiene su amparo en el Estatuto de los Trabajadores, por ello hace falta informar al trabajador y obtener su consentimiento.
d) Como se trata de un procedimiento de control de la actividad de los trabajadores en el ámbito del derecho laboral que tiene su amparo en el Estatuto de los Trabajadores, no hace falta informar al trabajador tan sólo obtener su consentimiento.

 DOMINIO 2

o Teórica
Cuando las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular:

a) El origen, la frecuencia, la naturaleza y la gravedad de dicho riesgo.
b) El origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
c) El origen, la naturaleza, el nivel y la gravedad de dicho riesgo.
d) El origen, la naturaleza, la particularidad y el impacto del riesgo.

o Escenario
Una entidad con establecimientos en varios Estados Miembros de la Unión Europea quiere realizar un tratamiento de alto riesgo; ha finalizado una evaluación de impacto y el resultado de la misma indica que existe un alto riesgo residual para los derechos y libertades de las personas físicas que no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación.

a) La entidad puede realizar el tratamiento si antes consulta la existencia de códigos de conducta que le sean aplicables.
b) No es necesario que la entidad realice una consulta a la autoridad de control si antes de realizar la evaluación de impacto informó a la autoridad de control sobre la importancia y necesidad del tratamiento que iba a realizar.
c) Debe consultar a la autoridad de control antes de realizar el tratamiento.
d) No es necesario que la entidad realice una consulta a la autoridad de control si el responsable recabó previamente la opinión de los interesados o de sus representantes en relación con el tratamiento previsto.

 DOMINIO 3

o Teórica
Las auditorías de protección de datos:

a) Permiten realizar una transferencia mediante garantías adecuadas.
b) Deben realizarse cada dos años.
c) Están incluidas en los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes.
d) Deben realizarse solo si el riesgo es alto.

o Escenario
Una empresa nacional del sector de la energía ha resultado afectada por un ataque cibernético y se ha producido la filtración de datos personales de un número elevado de sus clientes. ¿Esta violación de seguridad deberá ser notificada por el responsable a la AEPD?:

a) No, porque no es un operador de telecomunicaciones y sólo estos deben comunicar las brechas de seguridad.
b) No, la empresa sólo debe tener un procedimiento interno para que cualquier persona que detecte la violación se lo comunique a los gestores de la empresa implicados para que lo solucionen en un plazo de 72 horas.
c) Solo a la autoridad de control competente en un plazo de 24 horas desde que se tuvo constancia de la violación de seguridad con un primer análisis de lo acontecido y a los posibles afectados.
d) A la autoridad de control competente en un plazo de 72 horas desde que se tuvo constancia de la violación de seguridad, con un primer análisis de lo acontecido.

El examen dura un máximo de 4 horas. Se convocará a los candidatos con cierta antelación a la hora de inicio del examen.

  • Dominio 1 – 50%, 75 preguntas, de ellas 15 con escenario.
  • Dominio 2 – 30%, 45 preguntas, de ellas 9 con escenario.
  • Dominio 3 – 20%, 30 preguntas, de ellas 6 con escenario.

Se obtiene la certificar si se aprueba el examen con 113 puntos en total, de los cuales deben ser correctas al menos el 50% de cada dominio.

Los puntos mínimos* que son necesarios obtener por cada dominio serían:

  • Dominio 1: 38 Puntos o preguntas correctas
  • Dominio 2: 23 puntos o preguntas correctas.
  • Dominio 3 : 15 puntos o preguntas correctas.

*Estos puntos mínimos sumarán en  total 75 puntos,  permitiéndose hasta alcanzar los 113 puntos necesarios para aprobar el examen que sean en cualquiera de los tres dominios.

Tienes posibilidad acudir a la próxima convocatoria para una repetición con abonando una única tasa de certificación. Es decir, el pago de la tasa de certificación te da derecho a presentarte dos veces al examen, si en la primera convocatoria no has alcanzado la puntuación mínima.

El certificado se expide por 3 años desde su emisión. Antes de que finalice deberás solicitar la renovación.

No es necesario hacer un examen. Bastará con justificar:

  • mínimo de 60 horas de formación recibida y/o impartida durante el periodo de validez del certificado, requiriéndose un mínimo anual de 15 horas en materias objeto del programa del Esquema, y
  • al menos, un año de experiencia profesional en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos de carácter personal y/o de la seguridad de la información, evidenciada por tercera parte (empleador o similar).

Se valorará la formación impartida con el doble de horas que la formación recibida.

No será valorada la formación en la que no conste su duración, el temario, la entidad de formación y el título de la formación. En el caso de no poder justificar la formación anual mínima requerida durante alguno de los tres años exigidos, se permite la cumplimentación de esa formación en alguno de los otros dos años restantes.

Sí. Según el esquema IVAC, como entidad de certificación, podrá suspenderte temporalmente o retirarte el certificado si incumples el esquema o los compromisos adquiridos.

IVAC estará sujeta a las instrucciones exigidas por la AEPD en caso de cualquier modificación del esquema que se produzca.

Sí, IVAC a efectos de transparencia y garantía, está obligada a suministrar la identificación y el estado del certificado a cualquier persona interesada.

IVAC pasará también todos los datos de certificaciones emitidas a la AEPD para que pueda hacerlos públicos.

Solicita tu certificación aquí

Contacto

He leído y acepto la política de privacidad
Deseo información del grupo Ivac


[recaptcha]
(*):Indicador de dato con "valor obligatorio"
Cargando…