[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/12\/16\/nombramiento-delegados-proteccion-datos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2016\/12\/16\/nombramiento-delegados-proteccion-datos\/","headline":"Nombramiento de Delegados de Protecci\u00f3n de Datos","name":"Nombramiento de Delegados de Protecci\u00f3n de Datos","description":"Gu\u00eda UE sobre DPO, entrada en vigor del Reglamento general de Protecci\u00f3n de Datos. Nombramiento DPO, definici\u00f3n y significado, obligatoriedad para empresas","datePublished":"2016-12-16","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/12\/delegado-proteccion-datos-nombramiento.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/12\/delegado-proteccion-datos-nombramiento.png","height":287,"width":696},"url":"https:\/\/ayudaleyprotecciondatos.es\/2016\/12\/16\/nombramiento-delegados-proteccion-datos\/","about":["DELEGADOS\/ENCARGADOS","LOPDGDD & RGPD"],"wordCount":2403,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } La figura del Delegado de Protecci\u00f3n de Datos (DPO) regulada en el Reglamento General de Protecci\u00f3n de Datos de la UE se ha convertido en clave para adaptarnos a esta normativa.Por ello, la UE ha publicado una Gu\u00eda con una serie de directrices que nos ayudan a comprender mejor el papel que desempe\u00f1ar\u00e1 el DPO en el \u00e1mbito de la Protecci\u00f3n de Datos.Designaci\u00f3n de un\u00a0DPODesignaci\u00f3n obligatoriaAutoridad u Organismo p\u00fablicoActividades b\u00e1sicasDatos a gran escalaEjemplosMonitoreo regular y sistem\u00e1ticoEjemplosDelegado de Protecci\u00f3n de Datos del\u00a0Responsable del tratamientoF\u00e1cilmente accesible desde cada establecimiento\u00bfNecesitas cumplir el RGPD?Designaci\u00f3n de un\u00a0DPOEn la Gu\u00eda de la UE sobre el Delegado de Protecci\u00f3n de Datos se regula espec\u00edficamente el nombramiento de DPODesignaci\u00f3n obligatoriaEl GDPR exige la designaci\u00f3n de un DPO\u00a0en tres casos espec\u00edficos:Cuando el tratamiento se realice por una autoridad u organismo p\u00fablico.Si las actividades principales del Responsable consisten en operaciones de tratamiento que requieren un control peri\u00f3dico y sistem\u00e1tico de los datos a gran escala.En caso de que las actividades principales del Responsable consistan en procesar\u00a0a gran escala categor\u00edas especiales de datos, datos personales relativos a las condenas penales y delitos.A menos que sea obvio que una organizaci\u00f3n no est\u00e1 obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el an\u00e1lisis interno realizado para determinar si necesita un DPO. A fin de poder demostrar que se han adoptado las medidas pertinentes.Cuando una organizaci\u00f3n designa un DPO\u00a0de manera voluntaria se aplican los mismos requisitos establecidos en casos de designaci\u00f3n obligatoria.Esto no impide que una organizaci\u00f3n, que no desee designar un DPO\u00a0de manera voluntaria y\u00a0no est\u00e1 legalmente obligado a designar, contrate personal o consultores externos con\u00a0tareas relacionadas con la protecci\u00f3n de datos personales. En este caso, es importante garantizar que no haya\u00a0confusi\u00f3n respecto a su t\u00edtulo, estado, cargo y tareas. Deber\u00eda quedar claro, en las comunicaciones dentro de la empresa, as\u00ed como con las autoridades de protecci\u00f3n de datos, las personas y p\u00fablico en general, que el t\u00edtulo de este individuo o consultor no es un \u00abDPO\u00bb.Autoridad u Organismo p\u00fablicoEl GDPR no define qu\u00e9 constituye una autoridad u organismo p\u00fablico. La UE\u00a0considera que\u00a0dicha noci\u00f3n debe determinarse con arreglo a la legislaci\u00f3n nacional.En tales casos, la designaci\u00f3n de un DPO es obligatorio.Una tarea p\u00fablica puede ser llevada a cabo no s\u00f3lo por parte del p\u00fablico, Autoridades u organismos, sino tambi\u00e9n por otras personas f\u00edsicas o jur\u00eddicas de derecho p\u00fablico o\u00a0sectores tales como:servicios de transportesuministro de energ\u00edainfraestructuras viariasservicio p\u00fablico de radiodifusi\u00f3nvivienda p\u00fablicaprofesiones reguladasEn estos casos, los sujetos pueden estar en una situaci\u00f3n muy similar a la Autoridad u organismo p\u00fablico. En particular, los datos pueden ser procesados para ciertos fines y los afectados\u00a0tienen muy poca o ninguna opci\u00f3n sobre c\u00f3mo se tratar\u00e1n\u00a0sus datos. Y requieren la protecci\u00f3n adicional que la designaci\u00f3n de un DPO\u00a0puede traer.Aunque en tales casos no hay obligaci\u00f3n, la UE\u00a0recomienda, como una buena pr\u00e1ctica, que:Organizaciones privadas que desempe\u00f1an funciones p\u00fablicas o ejercen una autoridad p\u00fablica designan un\u00a0DPO.Actividad de un DPO\u00a0debe abarcar tambi\u00e9n todas las operaciones de tratamiento realizadas, que no est\u00e9n relacionados con el desempe\u00f1o de una tarea p\u00fablica o el ejercicio de funciones oficiales.Actividades b\u00e1sicasEl RGPD se refiere a las \u00abactividades principales del responsable del tratamiento\u00bb.Se\u00a0especifica que las actividades principales de un responsable del tratamiento se refieren\u00a0al tratamiento de datos personales como actividades auxiliares. Las \u00abactividades principales\u00bb pueden considerarse\u00a0operaciones clave necesarias para alcanzar los objetivos del controlador o del procesador.La actividad principal de un hospital es proporcionar atenci\u00f3n m\u00e9dica. Sin embargo, un hospital no puede realizar esa actividad efectivamente sin procesar los datos de salud, como los registros de salud de los pacientes. Por lo tanto, el procesamiento de estos datos deben considerarse como una de las actividades b\u00e1sicas de cualquier hospital y los hospitales deben designar un DPO.Como otro ejemplo, una empresa de seguridad privada lleva a cabo la vigilancia de Centros comerciales y espacios p\u00fablicos. La vigilancia es la actividad principal de la empresa, que a su vez est\u00e1\u00a0inevitablemente\u00a0ligada al tratamiento de los datos personales. Por lo tanto, esta empresa tambi\u00e9n debe designar un DPO.Por otra parte, todas las organizaciones llevan a cabo ciertas actividades, por ejemplo, el pago de sus actividades est\u00e1ndar de soporte de TI. Estas son funciones de apoyo necesarias para el n\u00facleo de la organizaci\u00f3n, actividad o negocio principal. Aunque estas actividades son necesarias o esenciales, suelen ser\u00a0consideradas funciones auxiliares en lugar de la actividad principal.Datos a gran escalaOtro supuesto en que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR no define lo que constituye gran escala.De hecho, no es posible dar un n\u00famero preciso ni con respecto a la cantidad de datos procesados ni\u00a0el n\u00famero de personas afectadas. Esto no\u00a0excluye la posibilidad de que con el tiempo, una pr\u00e1ctica est\u00e1ndar pueda desarrollarse, para especificar en\u00a0objetivos cuantitativos lo que constituye una \u00abgran escala\u00bb para determinados tipos de\u00a0actividades de transformaci\u00f3n. La UE tambi\u00e9n tiene previsto contribuir a este desarrollo, a trav\u00e9s de la\u00a0publicaci\u00f3n de ejemplos de los umbrales pertinentes para la designaci\u00f3n de un DPO.En cualquier caso, recomienda que se tengan en cuenta, en particular, los siguientes factores:N\u00famero de sujetos afectados, ya sea como n\u00famero espec\u00edfico o como proporci\u00f3n de poblaci\u00f3n relevante.Volumen de datos y \/ o el rango de diferentes elementos de datos que se est\u00e1n procesando.Duraci\u00f3n o permanencia de la actividad de procesamiento de datos.Extensi\u00f3n geogr\u00e1fica de la actividad de transformaci\u00f3n.EjemplosEjemplos de procesamiento a gran escala incluyen:Procesamiento de datos de pacientes en el curso regular de los negocios por un hospital.Tratamiento\u00a0de datos de viajes de personas que utilizan el sistema de transporte p\u00fablico de una ciudad (por ejemplo, tarjetas de viaje).Procesamiento de datos geogr\u00e1ficos en tiempo real de clientes de una cadena internacional de comida r\u00e1pida para fines estad\u00edsticos por un procesador especializado en la prestaci\u00f3n de estos servicios.Gesti\u00f3n\u00a0de datos de clientes en el curso normal de los negocios por una compa\u00f1\u00eda de seguros o un banco.Procesar\u00a0datos personales para publicidad conductual mediante un motor de b\u00fasqueda.Tratamiento\u00a0de datos (contenido, tr\u00e1fico, ubicaci\u00f3n) por tel\u00e9fono o proveedores de servicios de Internet.Ejemplos que no constituyen tratamiento\u00a0a gran escala incluyen:Procesamiento de datos de pacientes por un m\u00e9dico individual.Tratamiento por un abogado de datos personales relativos a condenas penales y delitos cometidos.Monitoreo regular y sistem\u00e1ticoLa noci\u00f3n de supervisi\u00f3n regular y sistem\u00e1tica de los datos no est\u00e1 definida en el GDPR.El concepto de \u00abcontrol del comportamiento de los interesados\u00bb incluye claramente\u00a0todas las formas de seguimiento y elaboraci\u00f3n de perfiles en Internet, incluso con fines de publicidad.La UE\u00a0interpreta ‘regular‘ como:En curso o ocurriendo a intervalos particulares durante un per\u00edodo determinado.Recurrentes o repetidos en horarios fijos.Constantemente o peri\u00f3dicamente teniendo lugar.Interpreta que \u00absistem\u00e1tico\u00bb como:Ocurren seg\u00fan un sistema.Organizaci\u00f3n previa, organizada o met\u00f3dica.En el marco de un plan general de recogida de datos.Realizado como parte de una estrategia.EjemplosOperar una red de telecomunicaciones;Prestaci\u00f3n de servicios de telecomunicaciones;Elaboraci\u00f3n de perfiles y puntuaci\u00f3n para fines de evaluaci\u00f3n de riesgos;Seguimiento, por ejemplo, mediante aplicaciones m\u00f3viles;Programas de lealtad;Publicidad conductual;Seguimiento de\u00a0datos sobre el bienestar, la aptitud f\u00edsica y la salud a trav\u00e9s de dispositivos port\u00e1tiles;Circuito cerrado de televisi\u00f3n;Dispositivos conectados.Delegado de Protecci\u00f3n de Datos del\u00a0Responsable del tratamientoTanto a los responsables como los encargados del tratamiento est\u00e1n obligados a designar un Delegado de Protecci\u00f3n de Datos.Es importante resaltar que incluso si el controlador cumple los criterios de designaci\u00f3n obligatoria, el procesador no est\u00e1 necesariamente obligado a nombrar un DPO. Sin embargo, esto puede ser una buena pr\u00e1ctica.Una peque\u00f1a empresa familiar dedicada a la distribuci\u00f3n de electrodom\u00e9sticos en una sola ciudad utiliza los servicios de un procesador cuya actividad principal es proporcionar servicios de an\u00e1lisis de sitios web y asistencia con publicidad y marketing dirigidos. Las actividades de la empresa familiar y sus clientes no generan el procesamiento de datos a gran escala.El n\u00famero de clientes y las actividades son relativamente limitadas. Sin embargo, las actividades del Encargado, teniendo muchos clientes como esta peque\u00f1a empresa, suponen un procesamiento a gran escala. Por consiguiente, \u00e9ste debe designar un DPO.Al mismo tiempo, la propia empresa familiar no est\u00e1 obligada a designar un DPO.F\u00e1cilmente accesible desde cada establecimientoEl RGPD permite a un grupo de empresas designar un \u00fanico DPO\u00a0siempre que sea \u00abF\u00e1cilmente accesible desde cada establecimiento\u00bb. La noci\u00f3n de accesibilidad se refiere a las tareas del\u00a0DPO como punto de contacto con respecto a los datos. Considerando que una de las tareas del DPO\u00a0es \u00abinformar y aconsejar al controlador y\u00a0al procesador y los empleados que llevan a cabo sus obligaciones conforme a esta regulaci\u00f3n\u00bb.A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que\u00a0sus datos de contacto est\u00e1n disponibles de acuerdo con los requisitos del GDPR.\u00c9l o ella debe estar en una posici\u00f3n para comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisi\u00f3n de que se trate. Esto tambi\u00e9n significa que esta comunicaci\u00f3n debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisi\u00f3n y los interesados.Tambi\u00e9n puede designarse un \u00fanico DPO\u00a0para varias autoridades u organismos p\u00fablicos, teniendo en cuenta su estructura organizativa y su tama\u00f1o. Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.La disponibilidad personal de un RPD es esencial para garantizar que los responsables del tratamiento puedan ponerse en contacto con el DPO. El DPO\u00a0est\u00e1 obligado por el secreto o la confidencialidad con respecto a la realizaci\u00f3n de sus tareas, de conformidad con la legislaci\u00f3n de la Uni\u00f3n o de los Estados miembros. Sin embargo, la obligaci\u00f3n de secreto \/ confidencialidad no proh\u00edbe que el DPO\u00a0se ponga en contacto y solicite asesoramiento de la autoridad supervisora. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/12\/16\/nombramiento-delegados-proteccion-datos\/#breadcrumbitem","name":"Nombramiento de Delegados de Protecci\u00f3n de Datos"}}]}]