Delegado Protección de Datos obligatorio en empresas

No saber cuándo contratar o designar un Delegado de Protección de Datos obligatorio, es una duda bastante habitual entre las organizaciones que manejan y tratan datos personales. En las siguientes líneas resolveremos esta duda, dando respuesta a diferentes cuestiones relacionadas con la obligatoriedad de contar con un DPO.

¿Cuándo es el Delegado de Protección de datos obligatorio?

El artículo 37.1 del RGPD señala los casos en los que existe la obligación del Delegado de Protección de datos. En concreto, se deberá designar cuando:

• El tratamiento de datos lo lleva a cabo una autoridad pública, salvo los tribunales que actúen en ejercicio de su función judicial.
• Las actividades principales del responsable del tratamiento o del encargado del tratamiento consistan en operaciones que requieran una observación habitual y sistemática de datos personales a gran escala.
• Las actividades de responsables o encargados consisten en el tratamiento a gran escala de categorías de datos especiales:
  • Origen étnico o racial
  • Opiniones políticas, convicciones religiosas o filosóficas
  • La afiliación sindical
  • El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física
  • Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física
  • Condenas e infracciones penales o medidas de seguridad conexas

*Actualización: La nueva directiva sobre whistleblowing establece la necesidad de contar con un delegado de protección de datos obligatorio a todas las empresas que cuenten con más de 50 trabajadores en plantilla. Contacta con nuestros expertos para saber más.

¿Qué empresas están obligadas a tener un Delegado de Protección de Datos?

Puesto que estos son supuestos de carácter general, la LOPDGDD detalla en qué empresas es obligatorio tener un Delegado de Protección de Datos (DPO):

• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten perfiles a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades de ordenación, supervisión y solvencia de entidades de crédito. Estamos hablando de entidades de crédito como los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
• Los establecimientos financieros de crédito.
• Las empresas aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión. Son las que ofrecen servicios de inversión bursátiles y de fondos de ahorro.
• Los distribuidores y comercializadores de energía eléctrica y gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
• Las empresas que desarrollen actividades de publicidad y prospección comercial.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
• Las empresas que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos. En este caso incluimos a las entidades que ofrecen apuestas deportivas online, así como también juegos de casino.
• Las empresas de seguridad privada. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. Se incluyen en este caso empresas que proporcionan seguridad privada, así como también los despachos de detectives privados.
• Distribuidores y comercializadores de electricidad. En este caso no solo comprendemos a las compañías eléctricas, sino también a las entidades que venden al público esa electricidad.

Cuando se trate de grupos empresariales o autoridades u organismos públicos dependientes, se podrá designar a un Delegado de Protección de datos para todas las entidades, siempre y cuando resulte viable el ejercicio de su función en todas ellas, atendiendo, por tanto, a la estructura organizativa y el tamaño de las mismas.

El responsable del tratamiento de datos podrá designar a un empleado como el Delegado de Protección de Datos de la organización (esta persona deberá tener conocimientos en protección de datos para poder desempeñar adecuadamente sus funciones). O puede contratar los servicios del Delegado de Protección de Datos de forma externa, bien a un profesional por cuenta ajena o a través de una consultoría especializada en el cumplimiento de la normativa.

En cualquier caso, es obligatorio comunicar a la AEPD (Agencia Española de Protección de Datos) los datos de contacto del DPO, puesto que este será el interlocutor entre la entidad a la que represente y la propia AEPD.

Otras empresas obligadas a contar con un DPO

Aparte de las empresas citadas en el punto anterior, también deberán designar un Delegado de Protección de datos las empresas obligadas a tener un canal de denuncias internos, tal y como establecen la Directiva Whistleblowing y la ley de protección de denunciantes de corrupción (que la transpone al ordenamiento jurídico español). En concreto, las empresas de más de 50 empleados.

Así mismo, el Delegado de Protección de Datos es obligatorio para cualquier empresa o entidad que tenga un canal de denuncias interno, ya que la gestión de estos canales y de las denuncias recibidas a través de ellos, deben garantizar la protección de datos de los denunciantes, denunciados y testigos (tal y como se recoge en el artículo 24 de la LOPDGDD).

Obligatoriedad en otras entidades

Según la LOPD, las instituciones, administraciones, autoridades, asociaciones, organismos públicos, colegios profesionales, etc, deberán tener un Delegado de Protección de datos obligatorio cuando realicen un tratamiento de datos sensibles a gran escala, es decir, cuando dicho tratamiento pueda suponer un riesgo elevado para la integridad de los datos.

Por ejemplo:

• Todas las autoridades y organismos públicos (con independencia de los datos que gestionen).
• Los colegios profesionales y sus consejos generales. Son asociaciones de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
• Los centros educativos y las Universidades públicas y privadas.
• Las federaciones deportivas cuando traten datos de menores de edad.

Del mismo modo, con la entrada en vigor de la ley sobre whistleblowing, todas aquellas entidades que cuenten con más de 50 personas en plantilla también estarán obligadas a designar un Delegado de Protección de datos de forma obligatoria.

¿Cuándo NO es obligatorio designar a un Delegado de Protección de Datos?

La obligatoriedad del DPO no afecta a todas aquellas entidades cuya actividad no esté recogida en los epígrafes anteriores y el tratamiento de datos personales que llevan a cabo no esté comprendido en los supuestos recogidos por el RGPD citados.

Así mismo, tampoco deberán designar un DPO obligatorio los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

¿Aun no siendo obligatorio, cuándo es conveniente contar con un responsable o Delegado de Protección de Datos según el Reglamento europeo?

Como hemos visto, la designación de un Delegado de Protección de Datos no es obligatoria siempre, ya que hay unos supuestos y actividades muy concretas recogidas en la normativa que lo exigen.

Sin embargo, aunque el Delegado de Protección de Datos no sea obligatorio, puede ser necesario cuando se quiere tener un mayor control sobre los tratamientos de datos personales que se hacen en la entidad, incluso cuando estos no son a gran a escala, pero sí se producen con cierta regularidad, así como para tener siempre cerca un profesional que puede resolver dudas respecto a cualquier tratamiento que se vaya a llevar a cabo, así como al realizar los análisis de riesgos o las EIPD que puedan resultar necesarias (que, si bien, no es una función del DPO, recabar su asesoramiento en este segundo caso sí está contemplado en el RGPD).

Finalmente, aunque no sea obligatorio, tener un DPO garantizará que la entidad cumple adecuadamente con la normativa de protección de datos, además de contar con el asesoramiento personalizado de este profesional respecto a los tratamientos de datos personales que se derivan de la actividad profesional que se lleva a cabo, incluida, además, la consulta de dudas a la AEPD. Además, el precio del Delegado de Protección de Datos no tiene por qué ser caro.