Delegado de Protección de Datos: ¿es obligatorio contratar a uno?

Como sabemos, el próximo 25 de mayo entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD) y una de las dudas más frecuentes respecto a éste es si las empresas deben contratar o no obligatoriamente a un Delegado de Protección de Datos (DPO). Aunque ya hemos hablado en artículos anteriores sobre este reglamento, debemos tener muy en cuenta esta nueva figura, ya que representa un papel importante en cuanto al manejo de protección de datos se refiere.

El RGPD va a incorporar nuevos compromisos en cuanto a privacidad y protección de datos, aunque la normativa europea no es muy precisa a la hora de indicar si es obligatorio contratar a un delegado de protección de datos.

¿Quieres conocer un poco más de información acerca de esta figura? En Maser Legal te explicamos hoy todo lo que necesitas saber sobre el Delegado de Protección de Datos.

Cómo se rige el Delegado de Protección de Datos en el RGPD

Aunque en este reglamento se abordan muchas cuestiones, son concretamente en los artículos 37 y 39 donde se regula la figura del Delegado de Protección de Datos. En estos dos artículos, se establece que ésta figura debe ser obligatoria para los siguientes casos:

• Cuando el tratamiento de los datos está a cargo de una autoridad u organismo público.
• Cuando las actividades y operaciones principales del responsable de datos exige un seguimiento regular y sistemático a gran escala.
• Cuando las actividades y operaciones principales del responsable necesita tratamientos a gran escala de datos personales relacionados con delitos y condenas.

Aunque parezcan conceptos a gran escala, lo cierto es que la Comisión Europea el Supervisor Europeo de Protección de Datos, y las autoridades de Protección de Datos de los Estados miembros han formado un órgano consultivo en el que se aclaran los conceptos en el Grupo de Trabajo del artículo 29, también conocido como GP29.

Por otro lado, el Proyecto de Ley Orgánica de Protección de Datos se redactó en noviembre de 2017 para que se adapte la ley española a la normativa europea y aclarar así algunas inexactitudes que se dan en el RGPD.

Algunas de las actividades principales y datos relacionados con el DPD

El responsable del tratamiento de la información de datos personales cuenta con unas actividades principales establecidas en el RGPD. Por ello, todos los negocios o empresas que tengan como objetivo el tratamiento de datos por la propia naturaleza de su actividad o para poder desarrollarla, deberán contar obligatoriamente con un delegado de protección de datos.

Además, se deben tener en cuenta unos factores determinados para establecer si una empresa necesita o no a este delegado. Una de las circunstancias que también obliga a contar con un delegado es que la empresa o negocio trate datos a gran escala. Ya que en este aspecto, influye tanto el volumen de datos, como el número de perfiles involucrados y el alcance geográfico, duración y permanencia de los datos en la empresa.

Aunque el RGPD no ha establecido unos parámetros cuantitativos y objetivos para poder estandarizar los factores que influyen en cuanto al significado de datos a gran escala.

Seguimiento continuado, recurrente y sistemático por parte de las empresas

Las empresas que estén obligadas a contratar la figura del delegado de protección de datos tendrán que hacer también un seguimiento continuado, organizado y metódico de los datos. Aunque el seguimiento no sólo se refiere al tratamiento online de dichos datos, sino a todas las empresas que hagan un tratamiento de ellos independientemente de los mecanismos que empleen para ello.

Es más, el artículo 34 del Proyecto de la Ley General de Protección de datos establece de forma detallada algunas de las entidades que están obligadas a contar con un delegado de protección de datos. Algunas de ellas son:

• Colegios profesionales y sus consejos generales
• Centros docentes
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas
• Prestadores de servicios de la sociedad de la información
• Entidades de crédito
• Establecimientos financieros de crédito
• Entidades aseguradoras y reaseguradoras
• Empresas de servicios de inversión
• Distribuidores y comercializadores de energía eléctrica y de gas natural
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
• Entidades que desarrollen actividades de publicidad y prospección comercial
• Centros sanitarios
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
• Operadores que desarrollen la actividad de juego
• Quienes desempeñen las actividades de Seguridad Privada
• Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

Perfil y competencias profesionales del Delegado de Protección de Datos

El delegado de protección de datos puede ser parte de tu plantilla o, por el contrario, puede ser un servicio externo. Aunque será fundamental que cuente con conocimientos jurídicos, ya que éstos le servirán como base para el tratamiento de los datos y el correcto desarrollo de sus competencia profesionales.

Los responsables del tratamiento en las empresas tendrán que comunicar en un plazo de diez días a la AEPD quién es el delegado de protección de datos.

Algunas de las funciones del delegado de protección de datos están establecidas en el artículo 39 del RGPD. Estas, entre otras, serían:

• Informar al responsable o a los responsables del tratamiento de datos  sus obligaciones en el tratamiento.
• Supervisar al el correcto cumplimiento de la normativa y las labores derivadas de la misma como la asignación de responsabilidades o la formación del personal.
• Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa europea y la propia ley orgánica de protección de datos.
• Colaborar con la autoridad de control comunitaria y nacional encargada de velar por la aplicación de la normativa y ser punto de contacto.

Podemos decir, entonces, que el Delegado de Protección de Datos es una figura certificada para supervisar el procedimiento que realizan las empresas a la hora de controlar los datos personales de sus clientes.

En Maser Legal somos expertos en protección de datos, no dudes en contactar con nosotros si todavía tienes dudas al respecto.