fbpx
InicioCiberseguridadProtección de datos¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos?

¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos?

El Delegado de Protección de Datos (DPD), conocido también como Data Protection Officer (DPO), es el profesional que debe supervisar el cumplimiento de las normas de protección de datos personales dentro de una organización, además de gestionar las consultas en materia de información sensible.

El Reglamento General de Protección de Datos recoge la obligación a incluir el DPD en los organismos públicos y las empresas o entidades que, como actividad principal, realicen un seguimiento de personas o que procesen categorías especiales de datos personales. A continuación, aclaramos las dudas más frecuentes sobre esta figura profesional, destacando las condiciones obligatorias para nombrar un Delegado de Protección de Datos.

Normativa para el Delegado de Protección de Datos

La Ley Orgánica 3/2018, de 5 de diciembre, concreta la obligatoriedad de designar un Delegado de Protección de Datos para organizaciones e instituciones públicas y entidades con más de 250 trabajadores o entidades con menos de 250 trabajadores, siempre que sea necesario un seguimiento sistemático de los datos sensibles, «para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos», según aclaran los especialistas en derecho de RS Servicios Jurídicos.

La normativa recoge los supuestos previstos en el artículo 37.1 del Reglamento General de Protección de Datos, donde se establece la obligación a nombrar dicha figura profesional, en las siguientes condiciones:

a) el tratamiento lo lleve a cabo una autoridad u organismo público;
b) las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de personas a gran escala;
c) las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales.

¿Qué empresas están obligadas a nombrar un Delegado de Protección de Datos?

Están obligados a contratar un DPD las empresas de seguridad privada y las entidades que presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales, así como los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio o los operadores que desarrollen la actividad de juego a través de canales electrónicos. Los colegios profesionales y sus consejos generales, los centros docentes y las Universidades públicas y privadas o las federaciones deportivas, cuando traten datos de menores de edad, deben también nombrar un DPD.

Además, deberán contar con un Delegado de Protección de Datos, las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, «de ordenación, supervisión y solvencia de entidades de crédito», como los establecimientos financieros, las entidades aseguradoras y reaseguradoras o las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, también deben nombrar un DPD, contrariamente a los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Sanciones por no nombrar un DPD

En los últimos años se registraron diferentes sanciones a organizaciones debido a una infracción del Reglamento 2016/679, como la multa de 10.000€ a una empresa de juegos online por no nombrar a un Delegado de Protección de Datos siendo su designación obligatoria.

«La cuantía de la sanción nos revela la importancia de contar con un DPD en la organización, sobre todo si su designación es obligatoria», aclara Andrea Camps del bufete De Lorenzo Abogados. Campos destaca además que «esta no es la primera sanción que emite la AEPD al respecto, ya en 2020 impuso una multa de 25.000€ a otra empresa por el mismo motivo, agravado por tratarse de un tratamiento de datos personales a gran escala por el número de clientes que tenía».

¿Quién nombra al Delegado de Protección de Datos?

El nombramiento del DPD deberá realizarlo el encargado del tratamiento de los datos personales, garantizando que el profesional resulte fácilmente accesible desde cualquier emplazamiento. Una vez designado un DPD, será necesario ejecutar la publicación de sus datos de contacto a las autoridades de control.

La notificación del DPD debe realizarse en el plazo de diez días desde su nombramiento, por medio de la comunicación oficial del Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

artículos relacionados

La AEPD lanza una guía sobre el tratamiento de...

La guía de la AEPD establece criterios estrictos para el uso de datos biométricos en control de presencia y acceso, enfatizando la protección de datos personales conforme al RGPD.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí