¿Cómo saber si tu empresa necesita un DPO?

777

Ante la avalancha de preguntas recibidas sobre este tema voy a decir las cosas claras: no todas las empresas necesitarán un Delegado de Protección de Datos.

Me da mucha lástima ver cómo empresas dedicadas a la Protección de Datos se aprovechan de la ignorancia de algunas personas vendiéndoles la necesidad de contratar un DPO cuando, por la actividad que realizan, no es necesario.

¿Qué dice el RGPD?

La normativa europea exige que se designe un Delegado de Protección de Datos en tres supuestos específicos:

  • cuando el tratamiento lo lleva a cabo una autoridad u organismo público;
  • cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; o
  • cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o
    datos personales relacionados con condenas y delitos penales.

Regulación en la nueva LOPD

Los supuestos indicados en el RGPD son bastante amplios y abstractos por lo que, en la nueva LOPD, se aclara mediante un listado aquellas empresa obligadas a contar con esta figura.

Empresas que necesitan un DPO

Las siguientes entidades necesitan nombrar un Delegado de Protección de Datos:

Los colegios profesionales y sus consejos generales

Un colegio profesional o colegio oficial es una asociación de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.

Los centros docentes

Que ofrezcan enseñanzas regladas (infantil, educación primaria, educación secundaria, bachillerato, formación profesional, enseñanzas artísticas, enseñanzas de idiomas, enseñanzas deportivas, enseñanza de personas adultas y educación especial) y las Universidades públicas y privadas.

Las entidades que exploten redes y presten servicios de comunicaciones electrónicas.

Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet.

Los prestadores de servicios de la sociedad de la información

Que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos. Se consideran como tales:

  • los operadores de telecomunicaciones,
  • los proveedores de acceso a Internet,
  • los portales,
  • los motores de búsqueda y
  • cualquier sujeto que disponga de un sitio en Internet.

Las entidades de crédito

Se incluyen los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.

Los establecimientos financieros de crédito

Son aquellas empresas que, sin tener la consideración de entidad de crédito y previa autorización del Ministro de Economía y Competitividad, se dediquen con carácter profesional a la concesión de préstamos y créditos, el arrendamiento financiero o la concesión de avales y garantías.

Las entidades aseguradoras y reaseguradoras

Una compañía de seguros o aseguradora es la empresa especializada en el seguro, cuya actividad económica consiste en producir el servicio de seguridad, cubriendo determinados riesgos económicos (riesgos asegurables) a las unidades económicas de producción y consumo.

El reaseguro es el método por el cual una aseguradora cede parte de los riesgos que asume con el fin de reducir el monto de su pérdida posible.

Las empresas de servicios de inversión

Son empresas de servicios de inversión las siguientes:

  • Las sociedades de valores.
  • Las agencias de valores.
  • Las sociedades gestoras de carteras.
  • Las empresas de asesoramiento financiero.

Los distribuidores y comercializadores de energía eléctrica y de gas natural

Por ejemplo, Iberdrola, Endesa, Gas natural, etc.

Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude

Se incluyen los responsables de los ficheros regulados por la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.

Las entidades que desarrollen actividades de publicidad y prospección comercial

Incluye las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

Los centros sanitarios

Los centros obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.

Los operadores que desarrollen la actividad de juego

Esa actividad debe realizarse a través de canales electrónicos, informáticos, telemáticos e interactivos.

Quienes desempeñen las actividades de Seguridad Privada

Los vigilantes de seguridad y su especialidad de vigilantes de explosivos, los escoltas privados, los guardas rurales y sus especialidades de guardas de caza y guardapescas marítimos, los jefes de seguridad, los directores de seguridad y los detectives privados.

Designación voluntaria

Los responsables o encargados del tratamiento no incluidos en el listado anterior podrán designar un Delegado de Protección de Datos de forma voluntaria, que quedará sometido al régimen establecido en la nueva normativa española de Protección de Datos.

Mi empresa necesita un DPO, ¿qué tengo que hacer?

Si tu empresa debe tener un DPO, en primer lugar, debes decidir si este formará parte de la plantilla o será una persona externa.

También debes asegurarte de que esa persona posee los conocimientos necesarios para ejercer sus funciones. El sistema de certificación creado por la AEPD es un medio adecuado para garantizar la profesionalidad y experiencia como DPO de quienes estén certificados.

Una vez nombrada la persona que va a ejercer como Delegado de Protección de Datos en tu empresa, debes comunicar sus datos a la AEPD y publicar esos datos para que lo conozcan tanto empleados como clientes.

Comunicación a la AEPD

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

La Agencia Española de Protección de Datos mantendrá una relación actualizada de Delegados de Protección de Datos que será accesible por medios electrónicos.

Y tu empresa, ¿está dentro de este listado? Pues entonces recuerda designar un DPO. Y si todavía tienes dudas sobre la necesidad de contratarlo, ¡escríbeme un comentario para ayudarte!

¿Cómo saber si tu empresa necesita un DPO?
4.9 (97.14%) 7 votos
Compartir