DPO designación y funciones

En aplicación de la normativa de protección de datos (RGPD y LOPDGDD) debe revisar si los tratamientos de datos personales que lleva a cabo comportan la obligación de designar un delegado de protección de datos (DPD) ¿Cuáles son los tratamientos o empresas que exigen la designación de un DPO? ¿Cuáles son las funciones del DPO?

Las recientes sanciones impuestas por la AEPD a empresas que no han designado delegado de protección de datos cuando estaban obligadas a ello, nos llevan a recordarle la necesidad de revisar si los tratamientos de datos personales que lleva a cabo suponen que se encuentra obligado a designar un delegado de protección de datos y a notificarlo a la AEPD.

Las sanciones a las que hacemos referencia son de 50.000 euros a empresa de seguridad privada y de 25.000 a la empresa GLOVO, siendo la primera obligada a designar Delegado de Protección de Datos al realizar tratamientos que implican observación habitual y sistemática de interesados a gran escala al tener CCTV (circuito cerrado de televisión) realizando videovigilancia y tratarse de una empresa de seguridad privada, y la segunda al realizar tratamientos a gran escala de datos de clientes.

Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.

El artículo 37.1 del RGPD requiere la designación de un Delegado de Protección de Datos en tres supuestos:

El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

En el artículo 34 de la LOPDGDD se establece la designación obligatoria de DPD para los siguientes responsables o encargados del tratamiento:

Los colegios profesionales y sus consejos generales.
Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
Los establecimientos financieros de crédito.
Las entidades aseguradoras y reaseguradoras.
Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
– Entidades de crédito, compañías de seguros y empresas de servicios de inversión
– Notarios y registradores
– Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia
– Abogados, procuradores u otros profesionales cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines
– Promotores inmobiliarios, APIs y agencias inmobiliarias.
– Auditores de cuentas, contables externos y asesores fiscales
– Casinos de juego.
– Joyeros, galerías de arte y anticuarios.
– Loterías y otros juegos de azar.
– Fundaciones y asociaciones….

Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
Las empresas de seguridad privada.
Las federaciones deportivas cuando traten datos de menores de edad.

¿Cuáles son las funciones del DPO?

El delegado de protección de datos tiene, entre otras, las siguientes funciones:

Informar y asesorar el responsable o el encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos.

Supervisar que se cumple la normativa.
Asesorar respecto de la evaluación de impacto relativa a la protección de datos.
Cooperar con la autoridad de control.
Actuar como punto de contacto para cuestiones relativas al tratamiento.

Los responsables y los encargados deben hacer pública la designación del delegado de protección de datos y sus datos de contacto y las comunicarán a la autoridad de supervisión competente.

La posición del DPD en las organizaciones debe cumplir los requisitos establecidos en el RGPD. Entre estos requisitos está la autonomía en el ejercicio de sus funciones, la necesidad de que se relacione con el nivel superior de la dirección o la obligación de que el responsable o el encargado le faciliten todos los recursos necesarios para desarrollar su actividad.

Si tiene dudas sobre la obligación de designar un DPD o necesita nuestro apoyo para la ejecución de sus funciones, contamos con un equipo de especialistas en protección de datos personales con experiencia en proyectos y tareas relacionadas con las funciones del DPD y amplia formación en este ámbito.

Más entradas de blog:

CURSO DE PREVENCIÓN DE BLANQUEO DE CAPITALES Y FINACIACIÓN DEL TERRORISMO

Nuestro socio, Víctor Altimira, será uno de los profesores del Curso que se celebrará entre los días 9 de abril y 21 de mayo en

RECOMENDACIONES EN EL USO CORREO ELECTRÓNICO EN CASO DE BAJA / FIN RELACIÓN LABORAL

PROCEDIMIENTO SANCIONADOR EDREAMS

Se abre un expediente sancionador en la AEPD a eDreams por el uso de Google Analytics. La reclamación se basa en que el uso de

DÍA DE LA INTERNET SEGURA

¡Que este día nos inspire a educar, proteger y promover la seguridad en línea! #internetsegura #seguridadenlinea #proteccióndedatos

ILVALEGAL es un despacho de abogados especializado en el derecho de las nuevas tecnologías en el que asesoramos al cliente,
desde el dinamismo y la innovación, basándonos en la cercanía y la inmediatez. Ofrecemos soluciones integrales unificando los aspectos tecnológicos con los legales.

DPO designación y funciones

Compartir:

Más entradas de blog:

CURSO DE PREVENCIÓN DE BLANQUEO DE CAPITALES Y FINACIACIÓN DEL TERRORISMO

RECOMENDACIONES EN EL USO CORREO ELECTRÓNICO EN CASO DE BAJA / FIN RELACIÓN LABORAL

PROCEDIMIENTO SANCIONADOR EDREAMS

DÍA DE LA INTERNET SEGURA

Nuestros apartados

Áreas de trabajo

© ILVALEGAL Todos los derechos reservados

Web diseñada por Einatec