Una de las principales novedades de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de Mayo de 2018, fue la creación de la figura del Delegado de Protección de Datos (DPD), conocido en el resto de Europa como Data Protection Officer o DPO.
Nuestra propia normativa interna, la Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) recoge, amplía y desarrolla esta figura, pero aún así, la implementación del Delegado de Protección de Datos en las empresas es aún hoy motivo de múltiples consultas: “¿Estoy obligado?” “¿Debería contratarlo aunque mi actividad no figure en el listado?”
Vamos a poner un poco de luz en el asunto.
Resumen del contenido
¿Qué es un DPD?
Es la persona encargada de informar y asesorar en materia de protección de datos, tanto al Responsable como al Encargado del tratamiento de los datos personales. Además, debe velar por el cumplimiento de la normativa en la empresa y cooperar con la Autoridad de Control, actuando como intermediario entre ésta y el Responsable.
Por todo ello, es una figura esencial, sobre todo en aquellas empresas en las que es obligatorio su nombramiento.
El artículo 39 del RGPD recoge sus funciones:
- Informar y asesorar al Responsable, sus empleados, y a los Encargados del tratamiento, de las obligaciones en materia de Protección de Datos que deben cumplir.
- Supervisar el cumplimiento de la normativa en la empresa, comprobando que la documentación utilizada es la correcta, que se llevan a cabo las medidas de seguridad necesarias, formando al personal, etc.
- Colaborar en la realización de las evaluaciones de impacto (EIPD) asesorando y asegurando su cumplimiento interno.
- Cooperar con la Autoridad de Control, la Agencia Española de Protección de Datos, y actuar como un enlace entre ésta y el Responsable.
- Gestionar las consultas y el ejercimiento de derechos, que los interesados realicen a la empresa.
Debido a su importancia, para designar a un DPD se debe tener en cuenta tanto su formación como su maestría, así como su capacidad para desempeñar todas las funciones propias de su cargo. En concreto, el RGPD establece una serie de requisitos indispensables para la designación de un delegado: Sus conocimientos en Derecho y su experiencia práctica en materia de Protección de Datos.
¿Quién está obligado a contratar un DPD?
El artículo 37 del Reglamento Europeo establece los supuestos en los que es necesario designar esta figura. En concreto, cuando:
- El tratamiento se lleve a cabo por una autoridad u organismo público, excepto los tribunales de justicia.
- La actividad principal del responsable o del encargado consiste en un tratamiento de datos a gran escala, o cuando consista en un tratamiento de categorías especiales de datos a gran escala.
El RGPD no define qué se entiende por tratamiento “a gran escala” ni establece una cifra concreta, sin embargo, el Grupo de Trabajo sobre Protección de Datos del Artículo 29 nos indica que debemos tener en cuenta el número de interesados afectados, el volumen de los datos objeto del tratamiento, y la duración y extensión geográfica de ese tratamiento.
En cuanto a los “datos especiales”, se refiere a aquellos datos sensibles especialmente protegidos por la normativa: los datos de origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, los datos de salud, genéticos o biométricos, la afiliación sindical, los datos relativos a la vida sexual o a la orientación sexual de las personas y las condenas e infracciones penales.
Dado que el Reglamento fue muy genérico en su regulación, la LOPDGDD en su artículo 34.1 concretó quiénes deben nombrar un DPD, redactando una lista de supuestos obligatorios:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades de supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Viendo el listado parecería completo, pero en realidad deja mucho margen de interpretación.
Algunos casos están muy claros: clínicas, bufetes de abogados, colegios profesionales… Sin embargo, algunos otros no quedan directamente establecidos en la normativa, por ejemplo, el punto j) del artículo indica: […]“incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo”. Y, si vamos a la Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo, nos encontramos muchos otros sujetos obligados, como inmobiliarias, gestorías, fundaciones, despachos de lotería, casinos, joyerías, etc.
Se han realizado múltiples consultas de este último punto ante la AEPD, casi todas resueltas de forma ambigua. Por ello, nuestra postura es la de recomendar la contratación de esta figura en estos casos, al menos hasta que haya una postura clara de las autoridades de control.
Mi actividad no está en la lista, ¿debo contratarlo?
Como hemos visto, la figura del Delegado de Protección de Datos es muy importante para la protección de los datos personales en una empresa, dado que la privacidad es un valor en auge y más en el mundo digital actual. Los usuarios son cada vez más conscientes de sus derechos y las reclamaciones ante la AEPD prácticamente se duplican cada año, con sanciones cada vez más duras.
Por ello, contratar un DPD para que gestione todos los asuntos relacionados con esta materia tan compleja es muy necesario, independientemente del tamaño de tu empresa o el sector en el que opere.
En ExpertosLOPD® estamos a tu disposición para resolver todas tus dudas respecto a la necesidad de contratar un DPD, o cualquier otro tema relacionado con la protección de datos de tu actividad. Nuestro servicio te ofrece todo lo necesario para un correcto y completo cumplimiento de la normativa a un precio asequible. Puedes conocer todo lo que incluye nuestro servicio de DPD aquí o ponerte en contacto con nosotros sin compromiso.
Última modificación el 1 junio, 2021 por Expertos LOPD