En aplicación de la normativa de protección de datos (RGPD y LOPDGDD) debe revisar si los tratamientos de datos personales que lleva a cabo comportan la obligación de designar un delegado de protección de datos (DPD) ¿Cuáles son los tratamientos o empresas que exigen la designación de un DPO? ¿Cuáles son las funciones del DPO?
Las recientes sanciones impuestas por la AEPD a empresas que no han designado delegado de protección de datos cuando estaban obligadas a ello, nos llevan a recordarle la necesidad de revisar si los tratamientos de datos personales que lleva a cabo suponen que se encuentra obligado a designar un delegado de protección de datos y a notificarlo a la AEPD.
Las sanciones a las que hacemos referencia son de 50.000 euros a empresa de seguridad privada y de 25.000 a la empresa GLOVO, siendo la primera obligada a designar Delegado de Protección de Datos al realizar tratamientos que implican observación habitual y sistemática de interesados a gran escala al tener CCTV (circuito cerrado de televisión) realizando videovigilancia y tratarse de una empresa de seguridad privada, y la segunda al realizar tratamientos a gran escala de datos de clientes.
Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.
El artículo 37.1 del RGPD requiere la designación de un Delegado de Protección de Datos en tres supuestos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
En el artículo 34 de la LOPDGDD se establece la designación obligatoria de DPD para los siguientes responsables o encargados del tratamiento:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
– Entidades de crédito, compañías de seguros y empresas de servicios de inversión
– Notarios y registradores
– Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia
– Abogados, procuradores u otros profesionales cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines
– Promotores inmobiliarios, APIs y agencias inmobiliarias.
– Auditores de cuentas, contables externos y asesores fiscales
– Casinos de juego.
– Joyeros, galerías de arte y anticuarios.
– Loterías y otros juegos de azar.
– Fundaciones y asociaciones….
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
¿Cuáles son las funciones del DPO?
El delegado de protección de datos tiene, entre otras, las siguientes funciones:
Informar y asesorar el responsable o el encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
- Supervisar que se cumple la normativa.
- Asesorar respecto de la evaluación de impacto relativa a la protección de datos.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto para cuestiones relativas al tratamiento.
Los responsables y los encargados deben hacer pública la designación del delegado de protección de datos y sus datos de contacto y las comunicarán a la autoridad de supervisión competente.
La posición del DPD en las organizaciones debe cumplir los requisitos establecidos en el RGPD. Entre estos requisitos está la autonomía en el ejercicio de sus funciones, la necesidad de que se relacione con el nivel superior de la dirección o la obligación de que el responsable o el encargado le faciliten todos los recursos necesarios para desarrollar su actividad.
Si tiene dudas sobre la obligación de designar un DPD o necesita nuestro apoyo para la ejecución de sus funciones, contamos con un equipo de especialistas en protección de datos personales con experiencia en proyectos y tareas relacionadas con las funciones del DPD y amplia formación en este ámbito.