1. Home
  2. Obligatorio
Save

Obligatoriedad del Delegado de Protección de Datos

El delegado de protección de datos es obligatorio cuando se tratan datos a gran escala, datos sensibles o cuando lo exige la naturaleza del responsable, como en las administraciones públicas.

Esta es la pregunta del millón desde la entrada en vigor del RGPD.
¿Sabes si estás obligado en tu empresa a designar un DPO? En este post trataré de aclarar el tema.

¿Qué dice el RGPD?

El RGPD indica que toda entidad debe nombrar un Delegado de Protección de Datos (DPO) si se encuentra en algunos de los siguientes supuestos:

  • Si la gestión de los datos la realiza una autoridad u organismo público. Salvo el caso de los tribunales que actúan en ejercicio de su función judicial.
  • Cuando las actividades principales del responsable/encargado del tratamiento se refieran a tratamientos que, por naturaleza, alcance y/o fines, exijan una observación habitual y sistemática de interesados a gran escala.
  • Si las actividades principales del responsable o del encargado del tratamiento se basan en una gestión a gran escala de categorías especiales de datos personales. O de datos referidos a condenas e infracciones penales.

Es importante tener en cuenta que el hecho de contratar un Encargado que sí tenga un DPO no nos exime de tener nuestro propio DPO como Responsable de tratamiento, en el caso de que cumplamos los requisitos.

Sin embargo, el RGPD establece unos supuestos poco claros en los que se debe nombrar un DPO. Por eso en la nueva LOPDGDD se intentan aclarar esos casos.

Casos en los que es obligatorio nombrar un DPO

La nueva LOPDGDD, aprobada en diciembre de 2018, incluye una lista concreta de casos en los que será obligatorio el nombramiento de un DPO.

Estos son los siguientes:

  • Colegios profesionales
  • Centros de enseñanza
  • Universidades
  • Empresas cuya actividad  sea la explotación de redes y prestación de servicios de comunicaciones electrónicas. Por ejemplo, empresas de telecomunicaciones.
  • Sociedades prestadoras de servicios de la sociedad de la información cuando se dediquen a elaborar perfiles de los usuarios del servicio a gran escala. En este caso podemos poner como ejemplo a empresas de márketing y publicidad online.
  • Empresas de crédito.
  • Compañías financieras de crédito (Bancos)
  • Empresas de seguros
  • Empresas de servicios de inversión
  • Entidades distribuidoras y comercializadoras de energía eléctrica y de gas natural
  • Empresas responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Organismos cuyas actividades principales sean la publicidad y prospección comercial
  • Centros sanitarios
  • Empresas cuya principal actividad consista en emitir informes comerciales referidos a personas físicas.
  • Compañías dedicadas a la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
  • Entidades de seguridad privada

¿Estás en la lista anterior de empresas obligadas a designar un DPO?

Tanto si es así como si no, lo recomendable es nombrar un Delegado de Protección de Datos. Sobre todo si manejas grandes cantidades de datos personales o tienes datos sensibles.

Pero vamos a aclarar más aún cuáles son las empresas que necesitan DPO y cuáles no.

Si necesitan DPO…

A continuación, unos ejemplos claros de empresas que necesitan nombrar un DPO.

  1. Despachos de abogados que manejan datos penales, temas de incapacidades o accidentes o temas fiscales.
  2. Clínica dental con varios trabajadores y profesionales autónomos que le prestan servicios.
  3. Todo tipo de Administración pública: Ayuntamientos, Diputaciones, Comunidades autónomas, etc.
  4. Guardería infantil
  5. Centros de enseñanza
  6. Universidades
  7. Hospitales y centros médicos
  8. Centros de fisioterapia
  9. Sindicatos
  10. Hermandades y Cofradías
  11. Laboratorios y empresas de investigación médica
  12. Consultora financiera
  13. Centros de psicología
  14. Detectives privados
  15. Empresas de trabajo temporal
  16. Partidos políticos
  17. Iglesias
  18. Aseguradoras
  19. Empresas dedicadas a la instalación de cámaras de videovigilancia y tratamiento de las imágenes
  20. Mutuas de accidentes de trabajo y enfermedades profesionales
  21. Empresas de prevención de riesgos laborales
  22. Empresas que prestan servicios de hosting o de almacenamiento en la nube
  23. Entidades dedicadas a apuestas y juegos de azar
  24. Medios de comunicación

No necesitan DPO…

Y ahora las empresas que no tienen obligación de nombrar un DPO.

  1. Comercios físicos y online
  2. Peluquerías y centros de estética
  3. Bares y restaurantes
  4. Hoteles
  5. Gimnasios y centros deportivos
  6. Agencias de viajes
  7. Asesorías
  8. Arquitectos e Ingenieros
  9. Empresas de construcción
  10. Fotógrafos
  11. Electricistas y fontaneros
  12. Empresas de ocio y tiempo libre
  13. Inmobiliarias
  14. Editoriales e imprentas
  15. Talleres
  16. Clínicas veterinarias
  17. Empresas de transporte
  18. Comunidades de vecinos
  19. Empresas agrícolas o ganaderas
  20. Entidades de logística y distribución
  21. Empresas de diseño web

Razones por las que nombrar DPO

Y aquí tienes tres razones por las que es aconsejable ese nombramiento.

El DPO supervisa el cumplimiento del RGPD

El nombramiento de un Delegado de Protección de Datos no es solo es un requisito para cumplir el RGPD, sino que puede ser de gran ayuda a la hora de aplicar el resto de exigencias del Reglamento.

El DPD guiará a los departamentos por las directrices de la nueva legislación, las cuales deberán acometerse desde el inicio de un proyecto hasta la finalización del mismo.

Garantizar la aplicación del RGPD en todas las fases de un proyecto supone la implicación de distintos departamentos de la empresa como: RRHH, del área financiera y legal, así como del consejo de dirección, planificación comercial, diseño y estructura web e infraestructura IT.

Es importante destacar que el DPD debe evitar conflictos y velar por los intereses del individuo por encima de los de la propia organización.

Ayudará en los informes sobre violaciones de seguridad

Los encargados del tratamiento que sufran una violación de seguridad deberán notificarla al responsable del tratamiento quien, a su vez, tiene que comunicarla a la autoridad de control y a los interesados si fuese necesario.

Una de las funciones del DPD será ayudar al encargado y al responsable a reportar la brecha de seguridad en las 72 h posteriores al descubrimiento de la violación.

Según el artículo 83 del RGPD, “el modo en que la autoridad de control se haga eco de la violación de seguridad será determinante para la imposición de la multa”. Esto significa que, si se demuestra que la empresa había adoptado las medidas de seguridad adecuadas para proteger la información, la multa será menor.

Puede ser un requisito legal

Como hemos señalado anteriormente, el Reglamento indica que las autoridades públicas y las empresas que lleven a cabo un seguimiento sistemático a gran escala de personas, o bien el procesamiento de gran magnitud de categorías especiales de datos, deben nombrar un DPD.

A priori, puede parecer que solo las grandes compañías tienen que ajustarse a este requisito. Sin embargo, también incumbe a pymes u organizaciones pequeñas como, por ejemplo, escuelas o parroquias.

Y recuerda, el DPO puede ser tanto una persona de la propia empresa como alguien contratado externamente.

Obligaciones de las empresas

La figura del Delegado de Protección de Datos es esencial para garantizar el cumplimiento de la normativa europea y se convierte en un elemento de control y comunicación con la autoridad.

Por ello las empresas asumen una serie de obligaciones con el DPO como:

  • Suministrar y publicar los datos y los medios de contacto con el Delegado de Protección de Datos con la finalidad de establecer un contacto permanente y transparente con su figura.
  • Proporcionarle acceso a toda la información de la empresa y de su relación con los datos de los clientes que se almacenan para facilitar en su trabajo.
  • Informarle sobre la estructura de personal y proporcionarle los recursos para el cumplimiento de sus funciones, así como de los medios económicos que garanticen su trabajo.
  • Darle la formación continua necesaria para estar actualizado de forma permanente y obtener conocimientos a nivel experto en la materia de la que se ocupa.
  • La empresa no podrá sugerir o dar órdenes directas que condicionen o imposibiliten la labor del DPO y que, por supuesto, vayan en contra de la normativa europea. Así, el RGPD impone la obligación de garantizar una estabilidad laboral al Delegado de Protección de Datos.

¿Tienes claro si debes contratar un DPO? Espero que me comentes cualquier duda.

Preguntas frecuentes

La obligación de nombrar un Delegado de Protección de Datos (DPD) se establece en el Reglamento General de Protección de Datos (RGPD) y en la normativa nacional. Es obligatorio cuando el tratamiento de datos lo realiza una autoridad u organismo público, cuando se lleva a cabo una observación habitual y sistemática de personas a gran escala (por ejemplo, en plataformas online o sistemas de videovigilancia), o cuando se tratan categorías especiales de datos, como los de salud, orientación sexual o creencias religiosas, también a gran escala.

No todas las organizaciones están obligadas a contar con un delegado de protección de datos, pero sí lo es en los supuestos definidos por el RGPD y la LOPDGDD. Además de los casos obligatorios, muchas entidades optan por designar un DPD de manera voluntaria para reforzar su compromiso con la privacidad y evitar riesgos legales, ya que su presencia mejora el cumplimiento y la confianza de clientes y usuarios.

Están obligadas a nombrar un DPD todas las autoridades y organismos públicos, excepto los tribunales en el ejercicio de su función judicial. También lo están las empresas u organizaciones cuya actividad principal consista en realizar un seguimiento sistemático y a gran escala de personas, como redes sociales o entidades financieras, así como aquellas que traten categorías especiales de datos personales de forma masiva, como hospitales, mutuas o aseguradoras de salud.

Sí, en España es obligatorio comunicar el nombramiento del Delegado de Protección de Datos a la Agencia Española de Protección de Datos (AEPD). Este trámite debe realizarlo el responsable o encargado del tratamiento a través del canal habilitado en la sede electrónica de la AEPD. El registro permite a la autoridad conocer quién actúa como interlocutor en materia de protección de datos dentro de cada entidad y garantiza una mayor transparencia y control en el cumplimiento de la normativa.

Artículos relacionados