¿Mi empresa tiene la obligación de nombrar un Delegado de Protección de Datos o DPD?

¿QUÉ EMPRESAS DEBEN NOMBRAR UN DELEGADO DE PROTECCIÓN DE DATOS?

El RGPD establece tres supuestos casos en los que es obligatoria la designación de un DPD:

• Autoridades u organismos públicos.
• Responsables o encargados del tratamiento cuya actividad principal consista en tratamientos que requieran una observación habitual y sistemática de personas a gran escala.
• Responsables o encargados del tratamiento cuya actividad principal consista en el tratamiento a gran escala de datos personales de categorías especiales o relativos a condenas e infracciones penales.

Ante la falta de concreción del Reglamento Europeo, la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) incluye un listado para orientar sobre el tipo de organizaciones que deberán designar un DPD:

• Colegios profesionales y sus consejos generales.
• Centros docentes que ofrezcan enseñanzas de los niveles establecidos en la legislación, así como Universidades públicas y privadas.
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten de forma sistemática datos personales a gran escala.
• Prestadores de servicios de la sociedad de la información cuando elaboren perfiles a gran escala.
• Entidades de ordenación, supervisión y solvencia de entidades de crédito.
• Establecimientos financieros de crédito.
• Entidades aseguradoras y reaseguradoras.
• Empresas de servicios de inversión.
• Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito.
• Entidades que desarrollen actividades de publicidad y prospección comercial cuando lleven a cabo tratamientos basados en preferencias de los titulares o realicen elaboración de perfiles.
• Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Exceptuando profesionales que ejerzan su actividad a título individual.
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
• Empresas de seguridad privada.
• Federaciones deportivas que traten datos de menores de edad.

LAS FUNCIONES DEL DPD

• Informar y asesorar a todos aquellos que se ocupen del tratamiento de datos.
• Supervisar el cumplimiento de lo dispuesto en la legislación española y europea en materia de protección de datos personales.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
• Cooperar con las autoridades de control en la resolución de incidencias.
• Actuar como intermediario con los titulares de los datos.

RECOMENDACIONES SOBRE EL DPD

El Grupo 29, órgano consultivo de la UE en materia de privacidad, publicó un informe relativo al DPD.

Entre las directrices que incluye el informe, recomienda que las organizaciones en las que no resulte obvia la obligación de designar un DPD, realicen y documenten un análisis “para determinar si debe nombrarse o no un DPD, a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes.”

El Grupo de Trabajo del artículo 29 también señala que “el nombramiento de un DPD puede facilitar el cumplimiento y, además, convertirse en una ventaja competitiva para las empresas.”