¿Qué es un Delegado de Protección de Datos (en inglés, DPO)?

El Delegado de Protección de Datos, en inglés, (Data Protection Officer) es la persona encargada, en el seno de una organización, de informar, asesorar y supervisar que, en una organización, tanto el responsable como los encargados del tratamiento de datos personales cumplan con la normativa de protección de datos vigente.

Además, el DPO también será la persona encargada de actuar como punto de contacto entre la Autoridad de Control (entre otras: AEPD, APDCAT y CEPD) y la organización para aquellas cuestiones relativas al tratamiento de datos personales, tal y como dispone el articulo 39 del RGPD. Artículo en el que se describen las funciones que como mínimo debe llevar a cabo un DPO.

Por lo tanto, el DPO, se configura como uno de los elementos clave del RGPD, actuando como garante del cumplimiento de la normativa de protección de datos en el seno de una organización, pero, sin llegar a sustituir las funciones propias de las Autoridades de Control (entre otras: AEPD y APDCAT).

El DPO puede ser una persona que forme parte de la plantilla de la organización o bien, una persona externa con la que se formalice un contrato de prestación de servicios.

En cualquier caso, dicha persona debe tener conocimientos especializados en Derecho y, en especial, en materia de Protección de Datos. Además, debe ser capaz de desempeñar las funciones establecidas en el artículo 39 del RGPD.

¿En qué casos es obligatorio nombrar a un DPO? 

Según lo establecido en el artículo 37 del RGPD, debe designarse obligatoriamente un DPO cuando:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales, tales como:

– Origen étnico o racial.

– Opiniones políticas, convicciones religiosas o filosóficas.

– La afiliación sindical.

– El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.

– Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

– Condenas e infracciones penales o medidas de seguridad conexas.

Por su parte, la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos personales y Garantía de los Derechos Digitales (LOPDGDD) amplía el alcance de la obligación de designar un DPO a aquellas entidades enumeradas en su artículo 34. Por tanto, las siguientes entidades quedan sujetas a la obligación de nombrar un DPO:

– Los colegios profesionales y sus consejos generales.

– Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

– Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

– Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

– Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

– Los establecimientos financieros de crédito.

– Las entidades aseguradoras y reaseguradoras.

– Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

– Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

– Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

– Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

– Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

– Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

– Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

– Las empresas de seguridad privada.

– Las federaciones deportivas cuando traten datos de menores de edad.

¿Qué se entiende por tratamiento de datos a gran escala?

Ni el RGPD ni la LOPDGDD definen en cifras el concepto de tratamiento de datos a gran escala.

No obstante, el grupo de trabajo del artículo 29 (en inglés WP29), viene recomendando en sus directrices que se atienda a los siguientes factores para determinar si un procesamiento de datos se lleva a cabo a gran escala:

  • Número de interesados afectados
  • Volumen de datos que son objeto de tratamiento
  • Duración de la actividad de tratamiento de datos
  • Alcance geográfico de la actividad de tratamiento de datos

La AEPD ha publicado el siguiente listado con algunos ejemplos que constituyen un tratamiento de datos a gran escala:

– El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;

– El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);

– El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;

– El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;

– El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;

– El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

¿Si contrato un DPO, este pasará a ser responsable personalmente del tratamiento de datos?

En base a lo dispuesto en el RGPD, el responsable del tratamiento y el encargado del tratamiento son los responsables de aplicar las medidas necesarias, tanto de carácter técnico como de carácter organizativo, para garantizar que el tratamiento de datos personales se realiza de conformidad con la normativa.

De modo que el DPO no responderá personalmente de los incumplimientos de la normativa de protección de datos que se puedan producir en la organización para la que presta dicho servicio (el de DPO).

Sin embargo, el DPO debe realizar una serie de tareas, tal y como explicábamos al inicio de esta entrada. Entre dichas tareas, destacamos:

  • Informar, asesorar y supervisar el cumplimiento de la normativa de protección de datos por parte del encargado y del responsable o responsables del tratamiento de datos personales.
  • Actuar como punto de contacto entre la Autoridad de Control (entre otras: AEPD y APDCAT) y la organización para cuestiones relativas al tratamiento de datos personales.

 

¿Qué puede pasar si estoy obligado a designar un DPO y no lo hago?

Si tu negocio desarrolla alguna de las actividades previstas en el artículo 34 de la LOPDGDD (anteriormente detalladas) o si cumple alguno de los requisitos del artículo 37 del RGPD, estarás obligado a contratar un DPO, si no lo haces, te expones a una posible sanción de la Agencia Española de Protección de Datos (AEPD).

Caso Glovo

A modo de ejemplo, conviene traer a colación la reciente sanción de 25.000 euros que la AEPD ha impuesto a la empresa Glovo por no tener un DPO.

En la resolución sancionadora la AEPD sostiene que Glovo efectúa un tratamiento de datos a gran escala y que, por consiguiente, queda sujeta a la obligación de contratar un DPO establecida en el artículo 37 del RGPD.

¿Es recomendable contratar un DPO, aunque no esté obligado a ello?

Por supuesto, nadie mejor que un experto en la materia para asegurarse de que tu organización cumpla con la normativa de protección de datos.

– El papel del DPO en una organización se podría resumir de la siguiente:

– Velar por que la organización respete los principios relativos al tratamiento de datos.

– Velar por que se respeten los derechos de los interesados y atender sus solicitudes o requerimientos.

– Promover una política de protección de daños desde el diseño y por defecto.

– Mantener un registro de actividades del tratamiento.

– Promover la implementación de mejoras que garanticen un tratamiento de datos mas seguro.

– Comunicar y gestionar las fugas de datos o brechas de seguridad que pueda sufrir la organización.

Además, contar con un DPO en tu organización es garantía para tus clientes, proveedores y colaboradores de que tu organización cumple con la normativa de protección de datos.

Si dentro de tu organización hay alguien que cumpla el perfil para ser DPO, debes saber que para hacer efectivo su nombramiento deberás comunicarlo a la AEPD.

Si prefieres contratar a un profesional externo para el cargo de DPO, en Qualgest podemos prestarte un servicio a medida para tu organización, contacta con nosotros y resolveremos tus dudas sin ningún compromiso.

.