Skip to content

¿Cuándo se debe designar un delegado de protección de datos? 

¿CUÁNDO SE DEBE DESIGNAR UN DELEGADO DE PROTECCIÓN DE DATOS? 

RESUMEN

Entre las novedades del Reglamento General de Protección de Datos (RGPD), se encuentra la creación de una nueva figura: el Delegado de Protección de Datos, también conocido como DPD o DPO de sus siglas en inglés (Data Protection Officer). 

En síntesis, un DPD es un garante del cumplimiento de la normativa en materia de protección de datos en las organizaciones (entre otras labores, informando, asesorando, supervisando o cooperando), quienes deben cumplir con las normas aplicables por ser responsables o encargados del tratamiento. 

En ocasiones, designar un DPD es una obligación legal que tienen tanto responsables como encargados del tratamiento –en concreto, en una serie de situaciones tasadas por el RGPD y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)–. Pero en otros casos, las organizaciones pueden considerar de utilidad designar un DPD de forma voluntaria, ya que garantiza un mayor cumplimiento de la normativa o responsabilidad proactiva. Además, de cara a una posible sanción por parte de las autoridades, puede suponer una reducción de la misma. 

En el presente artículo veremos cuándo la ley establece que hay que designar un DPD de forma obligatoria.

 

PALABRAS CLAVE

Delegado de protección de datos, DPD, DPO, RGPD, LOPDGDD, protección de datos.

El RGPD, en su artículo 37.1, establece que esta designación es obligatoria en los siguientes tres supuestos:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; 
  • Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o 
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Cuando se hace referencia a autoridades y organismos públicos no hay duda sobre en qué casos es necesario designar un DPD; el problema suele radica en la interpretación del concepto “a gran escala”.

¿Cómo sé si mi actividad principal supone un tratamiento a gran escala? Pese a que las autoridades han tratado en varias ocasiones este tema, dejan abierta la puerta de la interpretación, ya que no es posible dar una cifra exacta.

En consecuencia, a la hora de determinar si un tratamiento se realiza a gran escala se deben tener en cuenta una serie de factores como: i) el número de interesados afectados (como cifra concreta o como proporción de población correspondiente); ii) el volumen de datos o la variedad de elementos de datos que sean objeto de tratamiento; iii) la duración de la actividad de tratamiento; y iv) el alcance geográfico. 

Por lo que uno no se ha de fijar únicamente en el tamaño de la empresa u organización, sino en una serie de factores que, personalmente, considero que es mejor que valore un profesional en la materia. 

Frente a la falta de concreción y generalidad del Reglamento, la LOPDGDD (art. 34.1) señala una serie de casos más concretos en los que esta designación también es obligatoria:

  • Los colegios profesionales y sus consejos generales. 
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. 
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala. 
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. 
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras. 
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. 
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. 
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. 
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. 
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. 
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas. 
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego. 
  • Las empresas de seguridad privada. 
  • Las federaciones deportivas cuando traten datos de menores de edad.

Fuera de los supuestos que contempla la normativa, se puede designar un DPD de forma voluntaria, en cuyo caso las leyes serán igualmente aplicables. 

Asimismo, en ciertas ocasiones se puede designar un único DPD para diferentes organismos como, por ejemplo, cuando se trate de un grupo empresarial (siempre y cuando sea fácilmente accesible desde cada establecimiento), o se trate de autoridades u organismos públicos y su estructura organizativa y tamaño así lo permitan. 

Lo importante es saber identificar y tener claro si nuestra empresa precisa tener un Delegado de Protección de Datos ya que, en caso de ser obligatorio y no designarlo, la infracción sería considerada grave y la multa administrativa podría ascender a 10.000.000 euros como máximo o, tratándose de una empresa, a una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

BIBLIOGRAFÍA

NORMATIVA

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

 

 

Paula Viadero González:

  • Delegada de Protección de Datos Certificada bajo el Esquema AEPD-DPD.
  • Asesora Jurídica y DPD en Picón & Asociados Abogados.
  • Asociada Junior en la Asociación Profesional Española de Privacidad.
  • Máster Universitario en Acceso a la Abogacía en la Universidad Antonio de Nebrija.
  • Máster Experto en Derecho Digital en la Universidad de Deusto.
  • Grado en Derecho en la Universidad de Cantabria.
  • Colaboradora habitual en A Definitivas.

LinkedIn: https://es.linkedin.com/in/paula-viadero-gonzález
Contacto: paula.viadero@hotmail.com

Deja un comentario

A %d blogueros les gusta esto: