Ante la avalancha de preguntas recibidas sobre este tema voy a decir las cosas claras: no todas las empresas necesitarán un Delegado de Protección de Datos.

Me da mucha lástima ver cómo empresas dedicadas a la Protección de Datos se aprovechan de la ignorancia de algunas personas vendiéndoles la necesidad de contratar un DPO cuando, por la actividad que realizan, no es necesario.

¿Qué dice el RGPD?

La normativa europea exige que se designe un Delegado de Protección de Datos en tres supuestos específicos:

  • cuando el tratamiento lo lleva a cabo una autoridad u organismo público;
  • cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; o
  • cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o
    datos personales relacionados con condenas y delitos penales.
ejemplos proteccion de datos

Ofertas como “tu DPO por 50 euros al mes”, además de un riesgo de competencia desleal, pueden suponer un alto riesgo de incumplimiento por asesoramiento inadecuado que acarree sanciones muy serias.

Regulación en la nueva LOPD

Los supuestos indicados en el RGPD son bastante amplios y abstractos por lo que, en la nueva LOPD, se aclara mediante un listado aquellas empresa obligadas a contar con esta figura.

Empresas que necesitan un DPO

Las siguientes entidades necesitan nombrar un Delegado de Protección de Datos:

Colegios profesionales y sus consejos generales

Un colegio profesional o colegio oficial es una asociación de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.

Centros docentes

Que ofrezcan enseñanzas regladas (infantil, educación primaria, educación secundaria, bachillerato, formación profesional, enseñanzas artísticas, enseñanzas de idiomas, enseñanzas deportivas, enseñanza de personas adultas y educación especial) y las Universidades públicas y privadas.

Entidades que exploten redes y presten servicios de comunicaciones electrónicas

Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet.

Prestadores de servicios de la sociedad de la información

Que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos. Se consideran como tales:

  • Operadores de telecomunicaciones
  • Proveedores de acceso a Internet
  • Portales
  • Motores de búsqueda
  • Cualquier sujeto que disponga de un sitio en Internet
Entidades de crédito

Se incluyen los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.

Establecimientos financieros de crédito
Son aquellas empresas que, sin tener la consideración de entidad de crédito y previa autorización del Ministro de Economía y Competitividad, se dediquen con carácter profesional a la concesión de préstamos y créditos, el arrendamiento financiero o la concesión de avales y garantías.
Entidades aseguradoras y reaseguradoras

Una compañía de seguros o aseguradora es la empresa especializada en el seguro, cuya actividad económica consiste en producir el servicio de seguridad, cubriendo determinados riesgos económicos (riesgos asegurables) a las unidades económicas de producción y consumo.

El reaseguro es el método por el cual una aseguradora cede parte de los riesgos que asume con el fin de reducir el monto de su pérdida posible.

Empresas de servicios de inversión

Son empresas de servicios de inversión las siguientes:

  • Sociedades de valores.
  • Agencias de valores.
  • Sociedades gestoras de carteras.
  • Empresas de asesoramiento financiero.
Distribuidores y comercializadores de energía eléctrica y de gas natural

Por ejemplo, Iberdrola, Endesa, Gas natural, etc.

Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
Se incluyen los responsables de los ficheros regulados por la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.
Entidades que desarrollen actividades de publicidad y prospección comercial

Incluye las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

Centros sanitarios
Los centros obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.

Empresas físicas u online que suministran información comercial y financiera referida a otras empresas o particulares.

Operadores que desarrollen la actividad de juego

Esa actividad debe realizarse a través de canales electrónicos, informáticos, telemáticos e interactivos.

Quienes desempeñen las actividades de Seguridad Privada

Los vigilantes de seguridad y su especialidad de vigilantes de explosivos, los escoltas privados, los guardas rurales y sus especialidades de guardas de caza y guardapescas marítimos, los jefes de seguridad, los directores de seguridad y los detectives privados.

 

Designación voluntaria

Los responsables o encargados del tratamiento no incluidos en el listado anterior podrán designar un Delegado de Protección de Datos de forma voluntaria, que quedará sometido al régimen establecido en la nueva normativa española de Protección de Datos.

Mi empresa necesita un DPO, ¿qué tengo que hacer?

pasos-asignar-dpo-empresa
Si tu empresa debe tener un DPO, en primer lugar, debes decidir si este formará parte de la plantilla o será una persona externa.

También debes asegurarte de que esa persona posee los conocimientos necesarios para ejercer sus funciones. El sistema de certificación creado por la AEPD es un medio adecuado para garantizar la profesionalidad y experiencia como DPO de quienes estén certificados.

Una vez nombrada la persona que va a ejercer como Delegado de Protección de Datos en tu empresa, debes comunicar sus datos a la AEPD y publicar esos datos para que lo conozcan tanto empleados como clientes.

Comunicación a la AEPD

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

Los responsables del tratamiento comunicarán en el plazo de diez días a la AEPD, las designaciones, nombramientos y ceses de los DPO.

La Agencia Española de Protección de Datos mantendrá una relación actualizada de Delegados de Protección de Datos que será accesible por medios electrónicos.

Y tu empresa, ¿está dentro de este listado? Pues entonces recuerda designar un DPO. Y si todavía tienes dudas sobre la necesidad de contratarlo, ¡escríbeme un comentario para ayudarte!

¿Cómo saber si tu empresa necesita un DPO?
4.9 (97.14%) 7 votos