Ante la avalancha de preguntas recibidas sobre este tema voy a decir las cosas claras.
No todas las empresas necesitarán un Delegado de Protección de Datos.
Me da mucha lástima ver cómo empresas dedicadas a la Protección de Datos se aprovechan de la ignorancia de algunas personas vendiéndoles la necesidad de contratar un DPO. Cuando, por la actividad que realizan, no es necesario.
Por eso aquí te voy a contar si necesitas contratar un DPD.
¿Qué dice el RGPD?
La normativa europea exige que se designe un Delegado de Protección de Datos en tres supuestos específicos:
- Se trate de una autoridad u organismo público;
- cuando las actividades principales consisten en elaborar perfiles de comportamiento de los clientes o usuarios;
- en caso de tratar categorías especiales de datos (de salud, por ejemplo) o datos personales relacionados con condenas y delitos penales.
Ofertas como “tu DPO por 50 euros al mes”, además de un riesgo de competencia desleal, pueden suponer un alto riesgo de incumplimiento por asesoramiento inadecuado que acarree sanciones muy serias.
Delegado de Protección de Datos, ¿cuándo es obligatorio?
Los supuestos indicados en el RGPD son bastante amplios y abstractos. Pero en la nueva LOPD, se aclara mediante un listado aquellas empresa obligadas a contar con esta figura.
Empresas obligadas a contratar un DPO
Las siguientes entidades necesitan nombrar un Delegado de Protección de Datos:
Colegios profesionales y sus consejos generales
Un colegio profesional o colegio oficial es una asociación de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado. Por ejemplo, los colegios de abogados, de arquitectos, de médicos, etc.
Centros docentes
Que ofrezcan enseñanzas regladas:
- infantil,
- educación primaria y secundaria,
- educación especial,
- bachillerato,
- formación profesional,
- formación artística,
- enseñanzas de idiomas y deportivas,
- enseñanza de personas adultas y
- Universidades públicas y privadas.
Entidades que exploten redes y presten servicios de comunicaciones electrónicas
Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet.
Prestadores de servicios de la sociedad de la información
Que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
Se consideran como tales:
- Operadores de telecomunicaciones
- Proveedores de acceso a Internet
- Portales
- Motores de búsqueda
- Cualquier sujeto que disponga de un sitio en Internet
Entidades de crédito
Se incluyen:
- bancos,
- cajas de ahorros,
- cooperativas de crédito e
- Instituto de Crédito Oficial.
Establecimientos financieros de crédito
- concesión de préstamos y créditos,
- arrendamiento financiero o
- concesión de avales y garantías.
Entidades aseguradoras y reaseguradoras
Una compañía de seguros o aseguradora es la empresa especializada en el seguro, cuya actividad económica consiste en producir el servicio de seguridad, cubriendo determinados riesgos económicos (riesgos asegurables) a las unidades económicas de producción y consumo.
El reaseguro es el método por el cual una aseguradora cede parte de los riesgos que asume con el fin de reducir el monto de su pérdida posible.
Empresas de servicios de inversión
Son empresas de servicios de inversión las siguientes:
- Sociedades de valores.
- Agencias de valores.
- Sociedades gestoras de carteras.
- Empresas de asesoramiento financiero.
Distribuidores y comercializadores de energía eléctrica y de gas natural
Por ejemplo, Iberdrola, Endesa, Gas natural, etc.
Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
Entidades que desarrollen actividades de publicidad y prospección comercial
Incluye las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Centros sanitarios
Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas
Empresas físicas u online que suministran información comercial y financiera referida a otras empresas o particulares.
Operadores que desarrollen la actividad de juego
Esa actividad debe realizarse a través de canales electrónicos, informáticos, telemáticos e interactivos.
Quienes desempeñen las actividades de Seguridad Privada
Aquí se incluyen:
- vigilantes de seguridad y su especialidad de vigilantes de explosivos,
- escoltas privados,
- guardas rurales y sus especialidades de guardas de caza y guardapescas marítimos,
- jefes de seguridad,
- directores de seguridad y
- detectives privados.
Designación voluntaria
Los responsables o encargados del tratamiento no incluidos en el listado anterior podrán designar un Delegado de Protección de Datos de forma voluntaria, que quedará sometido al régimen establecido en la nueva normativa española de Protección de Datos.
Mi empresa necesita un DPO, ¿qué tengo que hacer?
Si tu empresa debe tener un DPO, en primer lugar, debes decidir si este formará parte de la plantilla o será una persona externa.
También debes asegurarte de que esa persona posee los conocimientos necesarios para ejercer sus funciones.
El sistema de certificación creado por la AEPD es un medio adecuado para garantizar la profesionalidad y experiencia como DPO de quienes estén certificados.
Una vez nombrada la persona que va a ejercer como Delegado de Protección de Datos en tu empresa, debes comunicar sus datos a la AEPD. Y publicar esos datos para que lo conozcan tanto empleados como clientes.
Comunicación a la AEPD
Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
Los responsables del tratamiento comunicarán en el plazo de diez días a la AEPD, las designaciones, nombramientos y ceses de los DPO.
La Agencia Española de Protección de Datos mantendrá una relación actualizada de Delegados de Protección de Datos que será accesible por medios electrónicos.
Y tu empresa, ¿está dentro de este listado?
Pues entonces recuerda designar un DPO.
Y si todavía tienes dudas sobre la necesidad de contratarlo, ¡escríbeme un comentario para ayudarte!
¿Necesitas contratar un DPO?
Buenos días,
al leer este post me surge una duda respecto a si yo que soy autónomo y no tengo a nadie contratado, tengo obligación de contratar un Delegado de Protección de Datos. Mi empresa es de asesoramiento de coaching.
¿Me lo podrían aclarar, por favor?
Enhorabuena por la web, es la que más me está ayudando a aclararme las dudas que me surgen.
Un saludo,
Paula
Buenas tardes, en principio para necesitar un Delegado de Protección de Datos tienes que manejar grandes cantidades de datos (más de 25.000) o datos sensibles en gran cantidad. Por lo que me comentas no lo necesitarías. Pero lo que sí necesitas es cumplir las obligaciones de la nueva ley de Protección de Datos. Te dejo un enlace con una guía para cumplir el RGPD: https://ayudaleyprotecciondatos.es/2017/06/14/guia-reglamento-general-proteccion-datos/
Y si necesitas contratar el servicio, tienes un directorio donde puedes pedir presupuestos: https://ayudaleyprotecciondatos.es/empresas/
Me alegra que el blog te sirva para aclarar dudas.
Buenas tardes,
Tengo una consulta, todas las tiendas online están obligadas a tener DPO?
Si no es así, cuales son los requisitos para que una tienda online deba tenerlo
Muchas gracias y un saludo,
Raquel
Buenos días Raquel, no todas las tiendas online están obligadas a tener un DPO. Depende del volumen de datos personales que manejan. Por poner una cantidad, más de 30.000 clientes