Delegado Protección de Datos obligatorio para empresas

Entre las dudas relativas a la protección de datos, no saber cuándo es el Delegado de Protección de Datos obligatorio, es bastante habitual. En las siguientes líneas resolveremos esta duda y otras cuestiones relacionadas con la obligación de tener un DPO en la empresa u organización.

¿Cuándo es obligatorio el Delegado de Protección de Datos?

Según el artículo 37.1 del RGPD, el Delegado de Protección de Datos es obligatorio cuando:

• El tratamiento de datos lo lleva a cabo una autoridad pública, salvo los tribunales que actúen en ejercicio de su función judicial.
• Las actividades principales del responsable del tratamiento o del encargado del tratamiento consistan en operaciones que requieran una observación habitual y sistemática de datos personales a gran escala.
• Las actividades de responsables o encargados consisten en el tratamiento a gran escala de categorías de datos especiales:
  • Origen étnico o racial
  • Opiniones políticas, convicciones religiosas o filosóficas
  • La afiliación sindical
  • El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física
  • Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física
  • Condenas e infracciones penales o medidas de seguridad conexas

*Actualización: La Directiva Whistleblowing establece la necesidad de contar con un Delegado de Protección de Datos obligatorio a todas las empresas que cuenten con más de 50 trabajadores en plantilla. Contacta con nuestros expertos para saber más.

¿Cuándo NO es obligatorio designar a un Delegado de Protección de Datos?

Un Delegado de Protección de Datos no es obligatorio cuando empresas y entidades realizan actividades en las que el tratamiento de datos no está comprendido en los supuestos recogidos por el RGPD y la LOPDGDD.

Por ejemplo, lo normal es que no haya obligación del Delegado de Protección de Datos para un taller mecánico, una papelería o una panadería.

Así mismo, tampoco deberán designar un DPO obligatorio los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

¿Qué empresas están obligadas a tener un delegado de datos?

La LOPDGDD detalla cuáles son las empresas obligadas a tener un Delegado de Protección de Datos (aparte de los supuestos del RGPD):

• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten perfiles a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades de ordenación, supervisión y solvencia de entidades de crédito. Estamos hablando de entidades de crédito como los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
• Los establecimientos financieros de crédito.
• Las empresas aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión. Son las que ofrecen servicios de inversión bursátiles y de fondos de ahorro.
• Los distribuidores y comercializadores de energía eléctrica y gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
• Las empresas que desarrollen actividades de publicidad y prospección comercial.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
• Las empresas que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos. En este caso incluimos a las entidades que ofrecen apuestas deportivas online, así como también juegos de casino.
• Las empresas de seguridad privada. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. Se incluyen en este caso empresas que proporcionan seguridad privada, así como también los despachos de detectives privados.
• Distribuidores y comercializadores de electricidad. En este caso no solo comprendemos a las compañías eléctricas, sino también a las entidades que venden al público esa electricidad.

Cuando se trate de grupos empresariales o autoridades u organismos públicos dependientes, se podrá designar a un Delegado de Protección de datos para todas las entidades, siempre y cuando resulte viable el ejercicio de su función en todas ellas, atendiendo, por tanto, a la estructura organizativa y el tamaño de las mismas.

El responsable del tratamiento de datos designará al Delegado de Protección de Datos de la organización, pudiendo contratar los servicios de un DPO externo (bien a un profesional por cuenta ajena o a través de una consultoría especializada en el cumplimiento de la normativa).

Los datos del DPO se comunicarán a la AEPD (Agencia Española de Protección de Datos) en un plazo de 10 días. En nuestro artículo sobre quién puede ser Delegado de Protección de Datos detallamos qué perfil profesional puede ocupar esta posición en empresas y otras entidades.

Otras entidades obligadas a tener DPO

El Delegado de Protección de Datos es obligatorio también en las siguientes entidades:

• Todas las autoridades y organismos públicos (con independencia de los datos que gestionen).
• Los colegios profesionales y sus consejos generales. Son asociaciones de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
• Los centros educativos y las Universidades públicas y privadas.
• Las federaciones deportivas cuando traten datos de menores de edad.

Así mismo, también deberán designar un Delegado de Protección de datos las empresas obligadas a tener un canal de denuncias interno (de acuerdo a la Directiva Whistleblowing) y aquellas empresas o entidades que hayan implantado un canal de denuncias, aunque no estén obligadas a ello, ya que la gestión de estos canales y de las denuncias recibidas a través de ellos, deben garantizar la protección de datos de los denunciantes, denunciados y testigos (tal y como se recoge en el artículo 24 de la LOPDGDD).

¿Se puede nombrar un Delegado de Protección de Datos sin ser obligatorio?

Cuando no es obligatorio designar un Delegado de Protección de Datos, se puede nombrar uno de forma voluntaria.

Empresas y entidades cuya actividad no esté comprendida en los supuestos del RGPD o de la LOPDGDD, pueden nombrar a un DPO de forma voluntaria para tener un mejor control y gestión de los tratamientos de datos personales y las medidas de protección de datos, además de contar con un profesional formado específicamente en la materia, que podrá ayudarles a resolver cualquier duda respecto a los tratamientos de datos que realizan o prevén realizar.

El nombramiento de un DPO voluntario tiene los mismos requisitos, funciones y obligaciones que un Delegado de Protección de Datos obligatorio.

¿Cuándo es conveniente tener un Delegado de Protección de Datos?

Tener un Delegado de Protección de Datos puede ser conveniente cuando se quiere tener un mayor control sobre los tratamientos de datos personales que se hacen en la entidad, incluso cuando estos no son a gran a escala, pero sí se producen con cierta regularidad, así como para tener siempre cerca un profesional que puede resolver dudas respecto a cualquier tratamiento que se vaya a llevar a cabo, así como al realizar los análisis de riesgos o las EIPD que puedan resultar necesarias (que, si bien, no es una función del DPO, recabar su asesoramiento en este segundo caso sí está contemplado en el RGPD).

Finalmente, aunque no sea obligatorio, tener un DPO garantizará que la entidad cumple adecuadamente con la normativa de protección de datos (y facilitará obtener el certificado de protección datos), además de contar con el asesoramiento personalizado de este profesional respecto a los tratamientos de datos personales que se derivan de la actividad profesional que se lleva a cabo, incluida, además, la consulta de dudas a la AEPD. Además, el precio del Delegado de Protección de Datos no tiene por qué ser caro.