La actual normativa en materia de protección de datos, la LOPD-GDD, nos habla de una figura que de la que muchos hemos oído hablar, pero que a la práctica genera muchas dudas entre las empresas: el Delegado de Protección de Datos o DPO.
¿Qué es un delegado de protección de datos?
Antes de nada, es importante tener claro qué es esta figura y cuáles son sus funciones. De manera sintética, el Delegado de Protección de Datos es la persona responsable de informar a los responsables y encargados del tratamiento sobre sus obligaciones legales a nivel de protección de datos, y de supervisar que se dé cumplimiento a la ley en todo momento. Evidentemente, el DPO debe contar con total independencia, y con los poderes necesarios para realizar su labor de manera efectiva.
¿Cuándo es necesario nombrar un DPO?
El Reglamento General de Protección de Datos (RGPD), de aplicación en toda la UE, establece que la designación de un Delegado de Protección de Datos es obligatoria en los siguientes casos:
- El responsable del tratamiento es un organismo público, con excepción de tribunales en el ejercicio de sus funciones judiciales.
- Aquellos casos en los que el tratamiento de datos requiera una observación habitual y sistemática a gran escala.
- Cuando los datos objeto del tratamiento pertenezcan a alguna de las categorías especiales según se indica en el artículo 9, y este tratamiento se realice a gran escala.
La LOPD-GDD, de aplicación en España, es algo más específica en este sentido, y en su
articulo 34 detalla los siguientes casos en los que es obligatoria la asignación de un DPO:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Si tu organización encaja en cualquiera de los casos anteriormente indicados, debe contar con un Delegado de Protección de Datos. No dar respuesta a esta obligación puede implicar importantes sanciones.
Si tu empresa, por el contrario, no encaja en ninguno de los supuestos anteriores, no tienes la obligación legal de contar con esta figura. No obstante, es importante tener en cuenta que, aunque no sea por imperativo legal, siempre es muy recomendable contar con un DPO, especialmente si tratamos con un volumen importante de datos.
¿Quién puede ser delegado de protección de datos?
Las funciones de delegado de protección de datos pueden ser asumidas por una persona que forme parte de la propia organización o, en su defecto, contratar el servicio a una empresa especialista, lo que se denomina un DPO externo.
En el caso de que se opte por la primera opción, la persona debe poder acreditar una experiencia mínima de 5 años ejerciendo funciones relativas a la protección de datos. Si su experiencia es menor, la puede complementar con formación específica en una entidad acreditada para ello por la AEPD, cuya duración mínima exigida varía de la siguiente manera:
- Experiencia de más de 3 años: 60 horas.
- Experiencia de más de 2 años y menos de 3: 100 horas.
- Sin experiencia previa: 180 horas.
Si te interesa
contratar un servicio de DPO con las máximas garantías, en Doiser encontrarás una
amplia selección de proveedores especialistas en este campo.