¿Estás obligado a contratar un Delegado de Protección de Datos?

Delegado de Protección de Datos

También puedes escuchar el artículo locutado haciendo clic en play.

Una de las dudas más comunes que surgen antes de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el próximo 25 de mayo, es si existe la obligación de tener un Delegado de Protección de Datos (DPO) en el conjunto de empresas y negocios.  

El Delegado de Protección de Datos en el RGPD

El RGPD incorpora nuevos compromisos en materia de privacidad y protección de datos pero la normativa europea es poco precisa sobre la contratación de un delegado de protección de datos.

Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:

  • Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala
  • Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas

El primero de los puntos no deja lugar a dudas ya que se circunscribe únicamente a organismos públicos pero los dos restantes pueden resultar poco específicos.

En pro de precisar conceptos indeterminados el Grupo de Trabajo del artículo 29 (el GP29), un órgano consultivo formado por las autoridades de Protección de Datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, concreta estos conceptos.

Además, el Proyecto de Ley Orgánica de Protección de Datos, del pasado 24 de noviembre de 2017, redactado para adaptar la ley española a la normativa europea, aclara algunas inexactitudes que se dan en el Reglamento General de Protección de Datos.

Actividades principales

¿Qué entiende el RGPD por actividades principales del responsable de tratamiento?

Estarán obligados a tener un delegado de protección de datos aquellos negocios y empresas que tengan como objetivo el tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el desarrollo de la misma.

Pongamos un ejemplo para entender cómo se materializan estas indicaciones.

Pensemos en un autónomo que lanza una aplicación móvil para ligar que maneja los perfiles de sus usuarios, un colegio profesional de abogados, una asesoría o una clínica sanitaria privada. Todo ellos manejan datos que inciden directa o indirectamente con datos personales. Por tanto, ¿estarían obligados estos autónomos y pymes a contar con un Delegado de Protección de Datos? Para obtener respuesta habría que tomar en consideración también los siguientes factores.

Datos a gran escala

Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa.

El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de  datos a gran escala.

Seguimiento regular y sistemático

Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia.

Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.

El artículo 34 del Proyecto de la Ley General de Protección de Datos (PLOPD) detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:

  • Colegios profesionales y sus consejos generales
  • Centros docentes
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la sociedad de la información
  • Entidades de crédito
  • Establecimientos financieros de crédito
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y de gas natural
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
  • Entidades que desarrollen actividades de publicidad y prospección comercial
  • Centros sanitarios
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  • Operadores que desarrollen la actividad de juego
  • Quienes desempeñen las actividades de Seguridad Privada
  • Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

Cuál debe ser el perfil de un Delegado de Protección de Datos

El delegado de protección de datos, que puede formar parte de tu plantilla o externalizar el servicio, debe tener conocimientos jurídicos que le servirán de base para el  tratamiento de los datos y el correcto desarrollo de sus competencias profesionales que más abajo detallaremos.

La Agencia Española de Protección de Datos (AEPD) lanza, en aras de certificar esas competencias profesional, el esquema de certificación de Delegados de Protección de Datos.

Además, los responsables del tratamiento en las empresas han de comunicar en un plazo de diez días a la AEPD el nombramiento del delegado de protección de datos.

Competencias profesionales de un Delegado de Protección de Datos

Las funciones del delegado de protección de datos se especifican en el artículo 39 del Reglamento europeo:

  • Informar al responsable o a los responsable del tratamiento de datos  sus obligaciones en el tratamiento.
  • Supervisar al el correcto cumplimiento de la normativa y las labores derivadas de la misma como la asignación de responsabilidades o la formación del personal.
  • Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa europea y la propia ley orgánica de protección de datos.
  • Colaborar con la autoridad de control comunitaria y nacional encargada de velar por la aplicación de la normativa y ser punto de contacto.

En líneas generales, el delegado de Protección de Datos es una figura novedosa certificada para custodiar el procedimiento que siguen las empresas para el control de datos personales de sus clientes.

Marina Rivero
Esta entrada fue publicada en LOPD y etiquetada , . Guarda el enlace permanente.

23 Comentarios en ¿Estás obligado a contratar un Delegado de Protección de Datos?

  1. Hola, buen post, enhorabuena!, me surge una duda, uno de los supuestos de la PLOPD es que los prestadores de servicios de la sociedad de la información están obligados a designar un DPD, bien, la duda es, concretamente qué es un prestador de servicios de la sociedad de la información?, en nuestro caso particular disponemos de una aplicación online de gestión, facturación y contabilidad.

    • Hola Tomas:

      Muchas gracias por tus felicitaciones.

      Hay aún muchos aspectos en el aire, sobre todo teniendo en cuenta que el proyecto de Ley Orgánica de Protección de Datos aún no ha visto la luz y no llegará a tiempo para el próximo 25, lo que quiere decir que seguiremos sujetos a la actual ley.

      Puedes saber qué se considera servicios de la sociedad de la información consultando la Ley de Servicios de la Sociedad de la Información

      Un saludo.

      • Respuesta a Marina Rivero:

        Hola Marina, muchas gracias, entiendo entonces que la PLOPD no entra en vigor el 25 de mayo, y lo que prevalece es el RGPD, además, al ser el RGPD de mayor Rango, la PLOPD no puede indicar quiénes tienen la obligatoriedad de definir un DPD si ya indica el RGPD dicha obligatoriedad.

        Muchas gracias y un saludo

        • Hola Tomas:

          El proyecto de Ley no entrará en vigor el próximo 25 de mayo porque se está tramitando aún por tanto seguirá en vigor la actual Ley de Protección de Datos y los articulados que no contradigan el Reglamento.

          Entendemos que la ley venidera sí especificará el reglamento pero aún estamos a la espera.

          Un saludo.

  2. Juan Márquez dijo:

    Buenas tardes, a parte de mis felicitaciones por el artículo, no considero que se aclare la obligación de DPD para un autónomo. Un autónomo que se dedique a comercio, por ejemplo, taller mecánico, de carpintería, textil, de un negocio de hostelería, con menos de 10 empleados, tiene obligación de designar un Delegado?

    • Respuesta a Juan Márquez:

      Hola Juan:

      Gracias por tu aportación. Entendemos lo que comentas pero, si bien es un asunto que no parece claro, has de guiarte por esos tres factores que determinan la necesidad y obligatoriedad de tener un Delegado de Protección de Datos. En el propio artículo viene un listado de quienes sí están obligados a tenerlo aunque entendemos que la ley venidera de protección de datos lo clarificará.

      Un saludo.

  3. Aloña dijo:

    Hola;

    He leído en varios artículos que un Hotel sí debería de tener un DPD. También he entendido que una asesoría que presta sus servicios a sus clientes, les hace nóminas, IRPF…también necesitan un DPD.
    Ahora tengo duda de si es así. No aparecen en este listado. Me podrías aclarar si necesitan DPD?

    • Respuesta a Aloña:

      Hola Aloña:

      Efectivamente el tema es complejo. Lo más recomendable es que recurras a un proveedor de protección de datos para que te pueda dar servicio experto.

      Un saludo.

  4. Antonio dijo:

    Hola Marina
    Enhorabuena por el artículo. Soy un médico autónomo, siendo el único médico y trabajador en mi clínica. Puedo ser yo mismo DPD. o me veo obligado a externarlizar dicha función?

    Gracias

  5. Juan Luís de Mora. dijo:

    Hola Marina:

    Buen artículo. Respecto a la última respuesta en la que apuntas que “la AEPD certifica los delegados de protección de datos” te comento lo que publica la Agencia en su Web:
    “Con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado, la AEPD ha optado por promover un Esquema de Certificación de DPD. Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.

    Aunque esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema, la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD”.

    Como se deduce del texto, y del articulado del RGPD, no es necesaria certificación para ejercer la profesión ni existe un certificado oficial. Lo que dice el RGPD es que se deben demostrar conocimientos de derecho y práctica suficiente en la materia. Por tanto ningún certificado es oficial. Otra cosa es que ciertas entidades ya se esten montando su “chiringuito” particular con la ayuda “no sé si interesada o no” de algunas autoridades.

    Desde que salió la Ley omnibus, la tendencia en europa es a ir acabando con los corporativismos. En España deberíamos ir aprendiendo después de los últimos ejemplos que vemos a diario, tipo master.

    Por favor, corrígeme si me equivoco.

    Un cordial saludo

    • Respuesta a Juan Luís de Mora.:

      Hola Juan Luis:

      Gracias por tu comentario.

      No pretendía dar a entender que la certificación es obligatoria, de hecho no se indica en el artículo. Efectivamente la certificación es voluntaria pero garantiza que se cumple el perfil.

      Lo ideal si surgen más dudas es ponerse en contacto con la Agencia de Protección de Datos y un proveedor de servicios.

      Un saludo.

  6. Juan Luís de Mora dijo:

    No pasa nada Marina. Lo que me ha llevado a confusión posiblemente, es que has puesto “la Agencia Estatal de Protección de Datos que certifica los Delegados de Protección de Datos”; y no es correcto.
    Personalmente, no creo que las certificaciones garanticen que se cumpla el perfil. La mayoría de los cursos que computan horas para obtener las certificaciones son on line…..y desde mi punto de vista, no es mucha garantía, sino más bien negocio.

    Para ser correctos, la AEPD lo que ha hecho es dar las directrices que deben de cumplir las empresas que expiden éstas certificaciones.

    Un saludo.

  7. Hola Marina

    Soy un autónomo de artes graficas ( impresor) ¿Cómo me afecta la ley de protección de datos, no tengo empleados y no hago mailings, solo facturas a las empresas a quien les hago trabajos cartas sobres carpetas
    talonarios etc creo que al no usar ficheros de datos personales no tengo obligación a contratar alguna empresa que lo lleve

  8. Fabio dijo:

    Buenas tardes Marina,
    le quería comentar mi caso.
    Soy Autónomo y me dedicaré a comercializar productos para Hoteles, empresas, ecc.. Venta a por el mayor. Tendré mi página web y los primeros meses haremos una campaña de publicidad en redes sociales. Como debería actuar en mi caso. Que debería hacer y contactar. Muchas gracias y saludos

    • Respuesta a Fabio:

      Hola Fabio:
      Aquí tienes más información sobre el RGPD pero te recomendamos que te pongas en contacto con un servicio de protección de datos para que te pueda orientar sobre el tema. En Infoautónomos contamos con Grupo IWI como proveedor

      Un saludo.

  9. Carlos dijo:

    Buenas tardes Marina,
    Soy autonomo y trabajo como tecnico comercial para diversas empresas, en mi caso yo hago de intermediario entre el cliente y la empresa cediendo los datos a la empresa, como me afecta a mi?, ya que por contrato esos datos quedan en la empresa

  10. Jesus Corral dijo:

    Hola Marina Rivero, me ha parecido muy interesante tu artículo.
    Me gustaría formarme como Delegado de Protección de datos, pero no se muy bien si necesito ser licenciado en derecho, si hay algunos estudios especificos para llegar a ser Delegado de Protección de Datos, o qué podría llegar a estudiar para serlo.

    No se si me podría dar algo de información al respecto.

    Muchas gracias de antemano, un saludo.

  11. Mariam dijo:

    Buenos dias,,,Nosotros somo un matrimonio los dos autonomos..sin trabajadores..tenemos una pequeña tienda de muebles..las facturas de la venta al cliente las hacemos en papel esos talonarios con calco-copia..no tenemos ficheros..los guardo cinco años..llevan nombre , apellidos, calle y telefono…..Estariamos obligados,,a esta nueva ley? muchas gracias ..Mariam

    • Respuesta a Mariam:

      Buenos días:

      En Infoautónomos siempre apostamos por la digitalización de las obligaciones contables y fiscales del autónomo. El papel empieza a estar obsoleto para la Administración.
      Sobre la obligación de del Delegado,depende de la actividad y del volumen de datos tal y como se indica en el artículo pero lo más recomendable es que te pongas en contacto con un proveedor de protección de datos para salir de dudas.

      Un saludo.

Deja un comentario

Tu dirección de correo electrónico no será publicada.
*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.