¿Cuándo es necesario un delegado de protección de datos?

¿Cuándo es necesario un delegado de protección de datos?

¿Cuándo es necesario un delegado de protección de datos?

 

El delegado de protección de datos (DPD), se ha convertido en una figura clave en todas las organizaciones que manejan y tratan datos personales, pero ¿sabes cuándo es necesario un delegado de protección de datos? Este perfil cobra una importancia fundamental a raíz de la entrada en vigor del Reglamento General de Protección de Datos, de aplicación desde el 25 de mayo de 2018, y el consecuente desarrollo normativo en la legislación española a través de la LOPDGDD. Si te interesa saber más sobre esta figura no dejes de consultar nuestro artículo ¿Qué es un delegado de protección de datos?.

 

Para algunas organizaciones la designación de un DPO resulta obligatoria por ley, pero son muchas las empresas las que sin tener que normar un DPO obligatorio, designan dicha función de manera completamente voluntaria. El tener un DPO en la empresa potencia la imagen de cumplimiento de la protección de datos y, ante posibles sanciones será una atenuante y una garantía de cumplimiento. El hecho de contar con un DPO mejora la imagen corporativa y puede ayudarte no sólo a evitar multas sino también posibles quejas de clientes o violaciones de seguridad. 

 

 

¿Por qué es obligatorio para las empresas tener un DPO?

 

Tanto el RGPD como la LOPDGDD prevén una serie de supuestos en los es obligatorio designar un delegado de protección de datos. Así, según el artículo 37.1 del Reglamento será necesario nombrar un DPO cuando:

 

– El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

– Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

– Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

 

Si bien según el RGPD es necesario designar un DPO cuando se haga un tratamiento a “gran escala”, este término tan difuso no aparece definido ni en el propio Reglamento ni en la LOPDGDD por lo que es necesario acudir a las “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo sobre protección de datos del artículo 29 para poder entenderlo. En este sentido, para saber si el tratamiento se realiza a gran escala deben de tenerse en cuenta factores como el número de interesados afectados, el volumen de datos, la duración de la actividad de tratamiento y el alcance geográfico.

 

Tipos de empresas que necesitan un delegado de protección de datos.

 

Como hemos visto, los tres supuestos anteriores son de carácter muy general, por ello, la LOPDGDD detalla un poco más en qué empresas u organizaciones es obligatorio nombrar un DPO. En este mismo sentido, la AEPD sintetiza qué tipos de organizaciones necesitan nombrar a un delegado de protección de datos.

 

Así, será obligatorio tener un DPO cuando nos encontremos en alguna de las siguientes entidades:

• Los colegios profesionales.
• Los centros de enseñanza y universidades.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, por ejemplo, empresas de telecomunicaciones.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
• Las entidades que desarrollen actividades de publicidad y prospección comercial.
• Los centros sanitarios a excepción de los profesionales de la salud que ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.

Ahora bien, todas aquellas organizaciones no incluidas en la relación anterior podrán igualmente designar un DPO de manera voluntaria que, como veremos a continuación, traerá consigo grandes beneficios para la organización. 

Finalmente, hay que tener en cuenta que además de aquellas entidades que cumplan con los requisitos anteriores, en España está pendiente la transposición de la Directiva sobre Whistleblowing. Es importante saber que, de manera reciente se aprobó el Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, donde se establece la necesidad de contar con un delegado de protección de datos obligatorio a todas las empresas que estén obligadas a tener un canal denuncias, es decir, las que cuenten con más de 50 trabajadores.

 

Beneficios de tener un DPO en la empresa

 

Como hemos visto, no siempre es obligatoria la designación de un delegado de protección de datos, pero puede ser muy recomendable contar con un perfil profesional que pueda asesorarnos y resolver todas nuestras dudas respecto a cualquier tratamiento que se lleve a cabo. El hecho de contar con un DPO garantiza que la organización cumple adecuadamente con la normativa de protección de datos, salvaguardando la seguridad de los datos y evitando posibles disgustos ante incumplimientos. En este artículo puedes ver los requisitos para ser delegado de protección de datos.

 

Es importante consolidar una verdadera cultura de protección de datos en nuestra organización porque nadie confiará en una empresa que no proteja y atienda de manera diligente sus derechos. Por ello, contar con un DPO tiene muchos beneficios, entre los que podemos destacar:

 

Cumplimiento proactivo. 

 

El nombramiento del DPO es uno de los elementos más importantes del cumplimiento por parte de una organización porque potencia la imagen de cumplimiento en todo momento.

 

Favorece la creación de una cultura de privacidad. 

 

Es una figura imprescindible para difundir y fomentar una cultura de respeto a la privacidad dentro de la organización.

 

Es un punto de contacto con los interesados y la Autoridad de Control. 

 

El DPO va a actuar como punto de contacto para atender a los interesados en cuestiones relativas al tratamiento de sus datos o el ejercicio de sus derechos. Además, tendrá preferencia en las comunicaciones con las Autoridades de Control y será de gran ayuda en caso de recibir una denuncia.

 

Medida de responsabilidad proactiva.

 

El hecho de tener nombrado un delegado de protección de datos, es una garantía de cumplimiento altamente valorada, por ende, ante posibles sanciones, será una atenuante para demostrar y defender la responsabilidad de la empresa.

 

Evita riesgos y sanciones.

 

Disponer de un perfil profesional como el DPO evita potenciales riesgos que puedan afectar a la imagen de nuestra empresa, minimizando la posibilidad de ser sancionado. 

 

Gestión eficaz de incidencias.

 

Ante un incidente de seguridad, el DPO permitirá actuar de manera rápida, aclarar los hechos, paliar los efectos y adoptar las medidas necesarias para el futuro.

 

Mejora de la imagen corporativa y aumenta la confianza.

 

El hecho de contar con un DPO proyecta valores de compromiso, transparencia y ética profesional. Esto va a suponer que no sólo se refuerce la seguridad de los datos, sino que se transmita tranquilidad a clientes, proveedores o terceros, creando un clima de confianza. Va a ser un valor diferencial.

 

Multas por no tener asignado un DPO | DPD

 

Desde que entró en vigor el RGPD, según un informe de ESET, las compañías españolas han sido las que más sanciones han recibido hasta la fecha, con un total de 273. El incumplimiento de la obligación de designar un DPO es considerada una sanción grave por parte de la LOPDGDD por lo que no debemos de tomárnoslo a broma. 

 

Dichas infracciones pueden acarrear una sanción consistente en una multa que ascenderá, en función de las circunstancias de cada caso individual, a un máximo del importe más elevado entre 10.000.000 € y el 2 % del total de la facturación global anual del ejercicio financiero anterior.

 

Entre las distintas compañías sancionadas recientemente podemos distinguir:

 

GLOVO. 

 

En abril de 2020, la AEPD le impone una sanción de 25.000€ a GLOVOAPP23, S.L. por no haber nombrado un DPO con anterioridad al inicio del procedimiento sancionador al realizar actividades consistentes en operaciones de tratamientos sobre datos personales de interesados a gran escala. 

 

CONSEGURIDAD.

 

Esta empresa de seguridad privada fue sancionada con 50.00€ por infringir el artículo 37.1 del RGPD, relativo a la obligación de contar con un DPO. Las empresas de seguridad privada deberán designar obligatoriamente un delegado de protección de datos.

 

ACONCAGUA JUEGOS S.A. 

 

La AEPD determinó una sanción por importe de 10.000 € para esta empresa de jugos online, por una infracción del artículo 37 de la RGPD, en relación con el artículo 34.1.n) LOPDGDD, que establece la obligación de designar un DPO a los operadores de juegos online.

 

Finalmente, en caso de que necesitemos nombrar un DPO, este puede ser interno o externo a la organización. Para saber qué opción es la que más te interesa, en este artículo de nuestro blog te damos “5 consejos para contratar delegado de protección de datos”.

 

 

¿Necesitas un servicio de delegado de protección de datos | DPD?

 

Con independencia de que sea obligatoria o no la figura del DPO, esto no exime a las empresas de cumplir con la responsabilidad de realizar un tratamiento correcto de los datos. Por ello, desde Seifti contamos con un Servicio de DPO externalizado que puede ayudarte.