Un porcentaje considerable de empresas desconocen que la Ley en vigor les obliga a designar a un Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), una figura clave para que determinadas organizaciones cumplan con garantías el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
“Las funciones del Delegado de Protección de Datos son la columna vertebral para garantizar la protección de un derecho fundamental europeo como es la protección de datos. La información y asesoramiento a las empresas y empleados, la supervisión del cumplimiento de las normas de protección de datos personales o la evaluación de impacto de la privacidad son tareas cualificadas que requieren conocimiento y experiencia, especialmente para asegurar la legalidad y la continuidad y mejora del negocio y de la actividad empresarial con respeto a la privacidad de las personas”, explica Efrén Díaz, abogado del Bufete Mas y Calvet, que también ejerce como Data Protection Officer europeo.
¿Cómo elegir a un DPO con garantías? Para designar a un Delegado de Protección de Datos, será necesario atender a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones de asesorar, supervisar, evaluar el impacto de la privacidad, cooperar y actuar como punto de contacto de la autoridad de control en esta materia.
Para mayor seguridad jurídica, la cualificación del DPD, según la LOPDGDD, podrá demostrarse, entre otros medios, particularmente mediante la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos, además de la certificación voluntaria.
Empresas y sectores obligados a contar con un DPD
La LOPDGDD concreta en España la lista de las organizaciones que de forma obligatoria deben contar con un Delegado de Protección de Datos:
- Colegios profesionales y sus consejos generales.
- Centros docentes y las Universidades públicas y privadas.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Entidades de ordenación, supervisión y solvencia de entidades de crédito.
- Establecimientos financieros de crédito.
- Entidades aseguradoras y reaseguradoras.
- Empresas de servicios de inversión.
- Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
- Entidades que desarrollen actividades de publicidad y prospección comercial.
- Centros sanitarios obligados legalmente a mantener historias clínicas de los pacientes.
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas física.
- Operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos.
- Empresas de seguridad privada.
- Federaciones deportivas cuando traten datos de menores de edad
- Distribuidores y comercializadores de electricidad.
En consecuencia, es sancionable como infracción grave no designar un Delegado de Protección de Datos cuando sea exigible su nombramiento. Al mismo tiempo, incluso cuando se designe, es también sancionable que la empresa no posibilite la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no lo respalde o interfiere en el desempeño de sus funciones (art. 73.v y w LOPDGDD).
Otros casos en los que hay que contar con un DPD
El RGPD señala una serie de casos en los que casos en los que resulta imprescindible contar con un Delegado de Protección de Datos:
- Cuando una autoridad pública lleve a cabo el tratamiento de los datos personales. La excepción a este requisito son los tribunales, cuando actúen en su función judicial.
- Cuando el responsable o encargado del tratamiento desarrollen actividades u operaciones que requieran de una observación habitual y sistemática de interesados a gran escala. Aunque el RGPD no concreta de forma expresa lo que esto supone, el European Data Protection Board (EDPB) indica que para determinar este punto hay que tener en cuenta factores como el número de interesados afectados, el volumen de datos que se van a tratar, la duración de los tratamientos o su extensión geográfica.
- Cuando se trate a gran escala categorías especiales de datos. Estas categorías especiales son:
- Origen étnico o racial.
- Opiniones políticas, convicciones religiosas o filosóficas.
- La afiliación sindical.
- El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.
- Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
- Condenas e infracciones penales o medidas de seguridad conexas.
Sobre la relación profesional con el Delegado de Protección de Datos, hay que recordar que no es indispensable la contratación laboral del DPD. También es posible externalizar el servicio de DPO en profesionales con amplia experiencia, con todas las garantías de cumplimiento. Lo más relevante es asegurar la independencia necesaria y los recursos para realizar sus funciones tanto en las empresas que están obligadas a designar esta figura como en aquellas que de forma voluntaria quieran contar con sus servicios para tener mayor fiabilidad en los tratamientos de datos personales.
Me interesa
- Moratoria o reducción del alquiler: claves legales para pymes y autónomos
- Medidas extraordinarias durante el estado de alarma para las sociedades no cotizadas
- Breve guía para aplazar deudas y otros trámites con la Agencia Tributaria por el Coronavirus
- ERTE: 6 aspectos que deben conocer las empresas
- Ciberataques: ¿por qué las pymes deberían contar con un protocolo de actuación?