Conoce Atico34 - Solicita presupuesto
DPOLOPDGDD & RGPD

¿Cuándo es obligatorio el Delegado Protección de Datos?

No saber cuándo contratar o designar un Delegado de Protección de Datos es obligatorio, es una duda bastante habitual entre las organizaciones que manejan y tratan datos personales. En las siguientes líneas resolveremos esta duda, dando respuesta a diferentes cuestiones relacionadas con la obligatoriedad de contar con un DPO.

¿Cuándo es obligatorio contratar un Delegado de Protección de Datos?

El RGPD y la LOPDGDD establecen los supuestos en los que existe la obligación del Delegado de Protección de Datos, en concreto, se deberá designar cuando:

  • El tratamiento de datos lo lleva a cabo una autoridad pública, salvo los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable del tratamiento o del encargado del tratamiento consistan en operaciones que requieran una observación habitual y sistemática de datos personales a gran escala.
  • Las actividades de responsables o encargados consisten en el tratamiento a gran escala de categorías de datos especiales:
    • Origen étnico o racial
    • Opiniones políticas, convicciones religiosas o filosóficas
    • La afiliación sindical
    • El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física
    • Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física
    • Condenas e infracciones penales o medidas de seguridad conexas

Puesto que estos son supuestos de carácter general, la LOPDGDD detalla cuáles son aquellas entidades en las que el Delegado de Protección de Datos es obligatorio siempre:

  • Todas las autoridades y organismos públicos (con independencia de los datos que gestionen).
  • Los colegios profesionales y sus consejos generales. Son asociaciones de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
  • Los centros educativos y las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten perfiles a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades de ordenación, supervisión y solvencia de entidades de crédito. Estamos hablando de entidades de crédito como los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión. Son las que ofrecen servicios de inversión bursátiles y de fondos de ahorro.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial. Se incluyen aquellas empresas que se dediquen al marketing elaborando perfiles del consumidor.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos. En este caso incluimos a las entidades que ofrecen apuestas deportivas online, así como también juegos de casino.
  • Las empresas de seguridad privada. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. Se incluyen en este caso empresas que proporcionan seguridad privada, así como también los despachos de detectives privados.
  • Las federaciones deportivas cuando traten datos de menores de edad.
  • Distribuidores y comercializadores de electricidad. En este caso no solo comprendemos a las compañías eléctricas, sino también a las entidades que venden al público esa electricidad.

Cuando se trate de grupos empresariales o autoridades u organismos públicos dependientes, se podrá nombrar a un único Delegado de Protección de datos para todas las entidades, siempre y cuando resulte viable el ejercicio de su función en todas ellas, atendiendo, por tanto, a la estructura organizativa y el tamaño de las mismas.

Obligatoriedad delegado proteccion datos

El responsable del tratamiento de datos podrá designar a un empleado como el Delegado de Protección de Datos de la organización (esta persona deberá tener conocimientos en protección de datos para poder desempeñar adecuadamente sus funciones). O puede contratar los servicios del Delegado de Protección de Datos de forma externa, bien a un profesional por cuenta ajena o a través de una consultoría especializada en el cumplimiento de la normativa.

En cualquier caso, es obligatorio comunicar a la AEPD (Agencia Española de Protección de Datos) los datos de contacto del DPO, puesto que este será el interlocutor entre la entidad a la que represente y la propia AEPD.

tarifas proteccion datos

¿Cuándo NO es obligatorio designar a un Delegado de Protección de Datos?

La obligatoriedad del DPO no afecta a todas aquellas entidades cuya actividad no esté recogida en el epígrafe anterior y el tratamiento de datos personales que llevan a cabo no esté comprendido en los supuestos recogidos por el RGPD citados.

Así mismo, tampoco deberán designar un DPO obligatorio los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

¿Aun no siendo obligatorio, cuándo es necesario un responsable o Delegado de Protección de Datos según el Reglamento europeo?

Como hemos visto, la designación de un Delegado de Protección de Datos no es obligatoria siempre, ya que hay unos supuestos y actividades muy concretas recogidas en la normativa que lo exigen.

Sin embargo, aunque el Delegado de Protección de Datos no sea obligatorio, puede ser necesario cuando se quiere tener un mayor control sobre los tratamientos de datos personales que se hacen en la entidad, incluso cuando estos no son a gran a escala, pero sí se producen con cierta regularidad, así como para tener siempre cerca un profesional que puede resolver dudas respecto a cualquier tratamiento que se vaya a llevar a cabo, así como al realizar los análisis de riesgos o las EIPD que puedan resultar necesarias (que, si bien, no es una función del DPO, recabar su asesoramiento en este segundo caso sí está contemplado en el RGPD).

Así, contratar la protección de datos junto a los servicios de un Delegado de Protección de Datos, no siendo obligatorio, garantizará que la entidad cumple adecuadamente con la normativa de protección de datos, además de contar con el asesoramiento personalizado de este profesional respecto a los tratamientos de datos personales que se derivan de la actividad profesional que se lleva a cabo, incluida, además, la consulta de dudas a la AEPD.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.