Ante la avalancha de preguntas recibidas sobre este tema voy a decir las cosas claras.

No todas las empresas necesitarán un Delegado de Protección de Datos.

Me da mucha lástima ver cómo empresas dedicadas a la Protección de Datos se aprovechan de la ignorancia de algunas personas vendiéndoles la necesidad de contratar un DPO. Cuando, por la actividad que realizan, no es necesario.

Por eso aquí te voy a contar si necesitas contratar un DPD.

¿Qué dice el RGPD?

La normativa europea exige que se designe un Delegado de Protección de Datos en tres supuestos específicos:

  • Se trate de una autoridad u organismo público;
  • cuando las actividades principales consisten en elaborar perfiles de comportamiento de los clientes o usuarios;
  • en caso de tratar categorías especiales de datos (de salud, por ejemplo) o datos personales relacionados con condenas y delitos penales.
ejemplos proteccion de datos

Ofertas como “tu DPO por 50 euros al mes”, además de un riesgo de competencia desleal, pueden suponer un alto riesgo de incumplimiento por asesoramiento inadecuado que acarree sanciones muy serias.

Delegado de Protección de Datos, ¿cuándo es obligatorio?

Los supuestos indicados en el RGPD son bastante amplios y abstractos. Pero en la nueva LOPD, se aclara mediante un listado aquellas empresa obligadas a contar con esta figura.

Empresas obligadas a contratar un DPO

Las siguientes entidades necesitan nombrar un Delegado de Protección de Datos:

Colegios profesionales y sus consejos generales

Un colegio profesional o colegio oficial es una asociación de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado. Por ejemplo, los colegios de abogados, de arquitectos, de médicos, etc.

Centros docentes

Que ofrezcan enseñanzas regladas:

  • infantil,
  • educación primaria y secundaria,
  • educación especial,
  • bachillerato,
  • formación profesional,
  • formación artística,
  • enseñanzas de idiomas y deportivas,
  • enseñanza de personas adultas y
  • Universidades públicas y privadas.
Entidades que exploten redes y presten servicios de comunicaciones electrónicas

Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet.

Prestadores de servicios de la sociedad de la información

Que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.

Se consideran como tales:

  • Operadores de telecomunicaciones
  • Proveedores de acceso a Internet
  • Portales
  • Motores de búsqueda
  • Cualquier sujeto que disponga de un sitio en Internet
Entidades de crédito

Se incluyen:

  • bancos,
  • cajas de ahorros,
  • cooperativas de crédito e
  • Instituto de Crédito Oficial.
Establecimientos financieros de crédito
Son aquellas empresas que, sin tener la consideración de entidad de crédito y previa autorización del Ministro de Economía y Competitividad, se dediquen con carácter profesional a:
  • concesión de préstamos y créditos,
  • arrendamiento financiero o
  • concesión de avales y garantías.
Entidades aseguradoras y reaseguradoras

Una compañía de seguros o aseguradora es la empresa especializada en el seguro, cuya actividad económica consiste en producir el servicio de seguridad, cubriendo determinados riesgos económicos (riesgos asegurables) a las unidades económicas de producción y consumo.

El reaseguro es el método por el cual una aseguradora cede parte de los riesgos que asume con el fin de reducir el monto de su pérdida posible.

Empresas de servicios de inversión

Son empresas de servicios de inversión las siguientes:

  • Sociedades de valores.
  • Agencias de valores.
  • Sociedades gestoras de carteras.
  • Empresas de asesoramiento financiero.
Distribuidores y comercializadores de energía eléctrica y de gas natural

Por ejemplo, Iberdrola, Endesa, Gas natural, etc.

Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
Se incluyen los responsables de los ficheros regulados por la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.
Entidades que desarrollen actividades de publicidad y prospección comercial

Incluye las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

Centros sanitarios
Los centros obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas

Empresas físicas u online que suministran información comercial y financiera referida a otras empresas o particulares.

Operadores que desarrollen la actividad de juego

Esa actividad debe realizarse a través de canales electrónicos, informáticos, telemáticos e interactivos.

Quienes desempeñen las actividades de Seguridad Privada

Aquí se incluyen:

  • vigilantes de seguridad y su especialidad de vigilantes de explosivos,
  • escoltas privados,
  • guardas rurales y sus especialidades de guardas de caza y guardapescas marítimos,
  • jefes de seguridad,
  • directores de seguridad y
  • detectives privados.

Designación voluntaria

Los responsables o encargados del tratamiento no incluidos en el listado anterior podrán designar un Delegado de Protección de Datos de forma voluntaria, que quedará sometido al régimen establecido en la nueva normativa española de Protección de Datos.

Mi empresa necesita un DPO, ¿qué tengo que hacer?

pasos-asignar-dpo-empresa
Si tu empresa debe tener un DPO, en primer lugar, debes decidir si este formará parte de la plantilla o será una persona externa.

También debes asegurarte de que esa persona posee los conocimientos necesarios para ejercer sus funciones.

El sistema de certificación creado por la AEPD es un medio adecuado para garantizar la profesionalidad y experiencia como DPO de quienes estén certificados.

Una vez nombrada la persona que va a ejercer como Delegado de Protección de Datos en tu empresa, debes comunicar sus datos a la AEPD. Y publicar esos datos para que lo conozcan tanto empleados como clientes.

Comunicación a la AEPD

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

Los responsables del tratamiento comunicarán en el plazo de diez días a la AEPD, las designaciones, nombramientos y ceses de los DPO.

La Agencia Española de Protección de Datos mantendrá una relación actualizada de Delegados de Protección de Datos que será accesible por medios electrónicos.

Y tu empresa, ¿está dentro de este listado?

Pues entonces recuerda designar un DPO.

Y si todavía tienes dudas sobre la necesidad de contratarlo, ¡escríbeme un comentario para ayudarte!

¿Necesitas contratar un DPO?

Solicitar presupuestos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenos días,
    al leer este post me surge una duda respecto a si yo que soy autónomo y no tengo a nadie contratado, tengo obligación de contratar un Delegado de Protección de Datos. Mi empresa es de asesoramiento de coaching.
    ¿Me lo podrían aclarar, por favor?
    Enhorabuena por la web, es la que más me está ayudando a aclararme las dudas que me surgen.

    Un saludo,
    Paula

    Contestar

    1. Buenas tardes, en principio para necesitar un Delegado de Protección de Datos tienes que manejar grandes cantidades de datos (más de 25.000) o datos sensibles en gran cantidad. Por lo que me comentas no lo necesitarías. Pero lo que sí necesitas es cumplir las obligaciones de la nueva ley de Protección de Datos. Te dejo un enlace con una guía para cumplir el RGPD: https://ayudaleyprotecciondatos.es/2017/06/14/guia-reglamento-general-proteccion-datos/
      Y si necesitas contratar el servicio, tienes un directorio donde puedes pedir presupuestos: https://ayudaleyprotecciondatos.es/empresas/
      Me alegra que el blog te sirva para aclarar dudas.

      Contestar

  2. Buenas tardes,

    Tengo una consulta, todas las tiendas online están obligadas a tener DPO?
    Si no es así, cuales son los requisitos para que una tienda online deba tenerlo

    Muchas gracias y un saludo,

    Raquel

    Contestar

    1. Buenos días Raquel, no todas las tiendas online están obligadas a tener un DPO. Depende del volumen de datos personales que manejan. Por poner una cantidad, más de 30.000 clientes

      Contestar

    1. Buenas tardes Javier, las entidades públicas están obligadas a nombrar un DPD. La certificación no es obligatoria pero debe tener conocimientos y experiencia en materia de Protección de datos.

      Contestar