Necessito contractar un Delegat de Protecció de Dades (DPO)?

Què és un Delegat de Protecció de Dades? 

El Delegat de Protecció de Dades (en anglès, Data Protection Officer) és la persona encarregada, dins d’una organització, d’informar, assessorar i supervisar que tant el responsable com els encarregats del tractament de dades personals compleixin amb la normativa de protecció de dades vigent.

A més, el DPO també és la persona encarregada d’actuar com a punt de contacte entre l’Autoritat de Control (entre d’altres: AEPD, APDCAT i CEPD) i l’organització, per a aquelles qüestions relatives al tractament de dades personals, tal com disposa l’article 39 del RGPD. Article en el qual es descriuen les funcions que com a mínim ha de dur a terme un DPO.

Per tant, el DPO, es configura com un dels elements clau del RGPD, i que actua com a garant del compliment de la normativa de protecció de dades dins d’una organització, però, sense arribar a substituir les funcions pròpies de les Autoritats de Control.

El DPO pot ser una persona que formi part de la plantilla de l’organització o bé, una persona externa amb la qual es formalitzi un contracte de prestació de serveis.

En qualsevol cas, aquesta persona ha de tenir coneixements especialitzats en Dret i, especialment, en matèria de Protecció de Dades. A més, ha de ser capaç d’exercir les funcions establertes en l’article 39 del RGPD. 

En quins casos és obligatori nomenar a un DPO? 

Segons l’article 37 del RGPD ha de designar-se obligatòriament un DPO quan: 

a) el tractament el dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial;

b) les activitats principals del responsable o de l’encarregat consisteixin en operacions de tractament que, en raó de la seva naturalesa, abast i/o fins, requereixin una observació habitual i sistemàtica d’interessats a gran escala, o

c) les activitats principals del responsable o de l’encarregat consisteixin en el tractament a gran escala de categories especials de dades personals, com ara:

– Origen ètnic o racial.

– Opinions polítiques, conviccions religioses o filosòfiques.

– L’afiliació sindical.

– El tractament de dades genètiques o dades  biomètriques dirigides a identificar a una persona física.

– Dades relatives a la salut o dades relatives a la vida sexual o l’orientació sexual d’una persona física.

– Condemnes i infraccions penals o mesures de seguretat connexes.

D’alta banda, la Llei orgànica 3/2018 de 5 de desembre, de Protecció de Dades personals i Garantia dels Drets Digitals (LOPDGDD) amplia l’abast de l’obligació de designar un DPO a aquelles entitats enumerades en el seu article 34:

– Els col·legis professionals i els seus consells generals.

– Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l’educació, així com les Universitats públiques i privades.

– Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques conforme al que es disposa en la seva legislació específica, quan tractin habitual i sistemàticament dades personals a gran escala.

– Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.

– Les entitats incloses en l’article 1 de la Llei 10/2014, de 26 de juny, d’ordenació, supervisió i solvència d’entitats de crèdit.

– Els establiments financers de crèdit.

– Les entitats asseguradores i reasseguradores.

– Les empreses de serveis d’inversió, regulades per la legislació del Mercat de Valors.

– Els distribuïdors i comercialitzadors d’energia elèctrica i els distribuïdors i comercialitzadors de gas natural.

– Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.

– Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les de recerca comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils d’aquests.

– Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients. S’exceptuen els professionals de la salut que, fins i tot estant legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.

– Les entitats que tinguin com un dels seus objectes l’emissió d’informes comercials que puguin referir-se a persones físiques.

– Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, conforme a la normativa de regulació del joc.

– Les empreses de seguretat privada.

– Les federacions esportives quan tractin dades de menors d’edat.
 

Què s’entén per tractament de dades a gran escala? 

Ni el RGPD ni la LOPDGDD defineixen en xifres el concepte de tractament de dades a gran escala.

Tot i així, el grup de treball de l’article 29 (en anglès WP29) recomana, en les seves directrius, que s’atengui els següents factors per a determinar si un processament de dades es duu a terme a gran escala:

– Nombre d’interessats afectats
– Volum de dades que són objecte de tractament
– Durada de l’activitat de tractament de dades
– Abast geogràfic de l’activitat de tractament de dades 

D’altra banda, l’AEPD ha publicat el següent llistat amb alguns exemples que constitueixen un tractament de dades a gran escala:

– El tractament de dades de pacients en el desenvolupament normal de l’activitat d’un hospital;

– El tractament de dades de desplaçament de les persones que utilitzen el sistema de transport públic d’una ciutat (p. ex. seguiment a través de targetes de transport);

– El tractament de dades de geolocalització en temps real de clients d’una cadena internacional de menjar ràpid amb finalitats estadístics per part d’un responsable del tractament especialitzat en la prestació d’aquests serveis;

– El tractament de dades de clients en el desenvolupament normal de l’activitat d’una companyia d’assegurances o d’un banc;

– El tractament de dades personals per a publicitat comportamental per un motor de cerca;

– El tractament de dades (contingut, trànsit, ubicació) per proveïdors de serveis de telefonia o internet.
 

Si contracto un DPO, aquest passarà a ser responsable personalment del tractament de dades? 

Segons el RGPD, el responsable del tractament i l’encarregat del tractament són els responsables d’aplicar les mesures necessàries, tant de caràcter tècnic com de caràcter organitzatiu, per tal de garantir que el tractament de dades personals es realitza de conformitat amb la normativa.

Per tant, el DPO no respondrà personalment dels incompliments de la normativa de protecció de dades que es puguin produir en l’organització per a la qual presta aquest servei (el de DPO).

No obstant, el DPO ha de realitzar una sèrie de tasques, tal com explicàvem a l’inici d’aquesta entrada. Entre aquestes tasques, destaquem:

– Informar, assessorar i supervisar el compliment de la normativa de protecció de dades per part de l’encarregat i del responsable o responsables del tractament de dades personals. 

– Actuar com a punt de contacte entre l’Autoritat de Control (entre altres: AEPD i APDCAT) i l’organització per a qüestions relatives al tractament de dades personals.
 

Què pot passar si estic obligat a designar un DPO i no ho faig? 

Si el teu negoci desenvolupa alguna de les activitats previstes en l’article 34 de la LOPDGDD (anteriorment detallades) o si compleix algun dels requisits de l’article 37 del RGPD, estaràs obligat a contractar un DPO, si no ho fas, t’exposes a una possible sanció de l’Agència Espanyola de Protecció de Dades (AEPD).

Cas Glovo
A tall d’exemple, convé portar a col·lació la recent sanció de 25.000 euros que l’AEPD ha imposat a l’empresa Glovo per no tenir un DPO.

En la resolució sancionadora, l’AEPD sosté que Glovo efectua un tractament de dades a gran escala i que, per consegüent, queda subjecta a l’obligació de contractar un DPO establerta en l’article 37 del RGPD.

És recomanable contractar un DPO, encara que no estigui obligat?

Per descomptat, ningú millor que un expert en la matèria per a assegurar-se que la teva organització compleixi amb la normativa de protecció de dades.

– El paper del DPO en una organització es podria resumir de la següent:

– Vetllar perquè l’organització respecti els principis relatius al tractament de dades.

– Vetllar perquè es respectin els drets dels interessats i atendre les seves sol·licituds o requeriments.

– Promoure una política de protecció de danys des del disseny i per defecte.

– Mantenir un registre d’activitats del tractament.

– Promoure la implementació de millores que garanteixin un tractament de dades mes assegurança.

– Comunicar i gestionar les fugides de dades o bretxes de seguretat que pugui sofrir l’organització.

A més, comptar amb un DPO en la teva organització és garantia per als teus clients, proveïdors i col·laboradors que la teva organització compleix amb la normativa de protecció de dades.

Si dins de la teva organització hi ha algú que compleixi el perfil per a ser DPO, has de saber que per a fer efectiu el seu nomenament hauràs de comunicar-lo a l’AEPD.

Si prefereixes contractar un professional extern per al càrrec de DPO, en Qualgest podem prestar-te un servei a mesura per a la teva organització, contacta amb nosaltres i resoldrem els teus dubtes sense cap compromís.