¿Cuándo tengo que nombrar a un Delegado de Protección de Datos?

TABLA DE CONTENIDOS

  1. ¿Qué es un Delegado de Protección de Datos (DPD)?
  2. Obligación de designar un DPD según el RGPD
  3. Obligación de designar un DPD según la legislación española
  4. Nombrar al Delegado de Protección de Datos ante la Agencia Española de Protección de Datos

En España, muchas empresas se preguntan si están obligadas a nombrar un Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés).

En este post, analizaremos los supuestos en los cuales una empresa española debe considerar la contratación de un DPD y cómo esta figura puede beneficiar a las organizaciones en términos de cumplimiento normativo y protección de la privacidad.

¿Qué es un Delegado de Protección de Datos (DPD)?

Un DPD es un profesional designado por una empresa para supervisar y garantizar el cumplimiento de las leyes de protección de datos. Su función principal es actuar como intermediario entre la empresa, los titulares de datos y las autoridades de control. Además, el DPD se encarga de asesorar y brindar orientación sobre las cuestiones relacionadas con la protección de datos y la privacidad dentro de la organización.

Obligación de designar un DPD según el RGPD

El RGPD establece ciertos supuestos en los cuales una empresa está obligada a designar un DPD. Estos supuestos incluyen:

  1. Tratamiento realizado por una autoridad u organismo público, excluyendo los tribunales en ejercicio de su función judicial.
  2. Actividades principales que involucran un tratamiento habitual y sistemático de datos a gran escala.
  3. Tratamiento a gran escala de categorías especiales de datos personales según el artículo 9 del RGPD y datos relativos a condenas e infracciones penales según el artículo 10.

Obligación de designar un DPD según la legislación española

Además de los supuestos establecidos en el RGPD, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales señala otras entidades que deben designar un DPD en España. Estas entidades incluyen:

  • Colegios profesionales y sus consejos generales.
  • Centros docentes que ofrecen enseñanzas en todos los niveles educativos, incluyendo universidades públicas y privadas.
  • Entidades que explotan redes y prestan servicios de comunicaciones electrónicas a gran escala, de acuerdo con la legislación específica, cuando realicen tratamientos habituales y sistemáticos de datos personales a gran escala.
  • Prestadores de servicios de la sociedad de la información que realicen elaboración de perfiles de usuarios a gran escala.
  • Entidades incluidas en el artículo 1 de la Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito.
  • Establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Distribuidores y comercializadores de energía eléctrica, así como distribuidores y comercializadores de gas natural.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito, o de ficheros comunes para la gestión y prevención del fraude, incluyendo responsables de ficheros regulados por la legislación de prevención del blanqueo de capitales y financiación del terrorismo.
  • Entidades que realicen actividades de publicidad y prospección comercial, incluyendo investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles.
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que ejerzan su actividad a título individual.
  • Entidades cuyo objeto sea la emisión de informes comerciales referentes a personas físicas.
  • Operadores que desarrollen actividades de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, de acuerdo con la normativa de regulación del juego.
  • Empresas de seguridad privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

Nombrar al Delegado de Protección de Datos ante la Agencia Española de Protección de Datos

Los responsables y encargados del tratamiento deberán comunicar, en un plazo máximo de diez días, a la Agencia Española de Protección de Datos o a las autoridades autonómicas de protección de datos correspondientes, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos (DPD). Esta obligación aplica tanto en los casos en que la designación del DPD sea obligatoria según la normativa, como en aquellos en los que se realice de forma voluntaria.

Es fundamental cumplir con este requisito de comunicación para garantizar la transparencia y el cumplimiento normativo en materia de protección de datos. De esta manera, las autoridades competentes podrán llevar un registro actualizado de los DPD designados en cada entidad y asegurarse de que se cumplan las obligaciones establecidas en la legislación vigente.

La comunicación de las designaciones, nombramientos y ceses de los DPD es un proceso ágil y esencial para mantener a las autoridades informadas sobre los responsables y encargados del tratamiento que cuentan con un profesional dedicado a la protección de datos en sus estructuras organizativas. Además, esta comunicación contribuye a fortalecer la confianza de los ciudadanos y usuarios en la forma en que se manejan y protegen sus datos personales.

Es importante tener en cuenta que, en función de la jurisdicción territorial y del ámbito de aplicación específico, la comunicación puede dirigirse a la Agencia Española de Protección de Datos a nivel nacional o a las autoridades autonómicas de protección de datos correspondientes, en caso de que así esté establecido.

Si has llegado hasta aquí,
¿quieres más información de las soluciones CompaaS?

Contáctanos

Laworatory tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto para agendar una demo de la herramienta de LAWORATORY, legitimando el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpd@laworatory.com.

Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.