¿Qué empresas deben nombrar un Delegado de Protección de Datos?

0

Esta es la pregunta del millón desde la entrada en vigor del RGPD.

¿Sabes si estás obligado en tu empresa a designar un DPO?

En este post trataré de aclarar el tema.

¿Qué dice el RGPD?

El RGPD indica que toda entidad debe nombrar un DPO si se encuentra en algunos de los siguientes supuestos:

  • Si la gestión de los datos la realiza una autoridad u organismo público. Salvo el caso de los tribunales que actúan en ejercicio de su función judicial.
  • Cuando las actividades principales del responsable/encargado del tratamiento se refieran a tratamientos que, por naturaleza, alcance y/o fines, exijan una observación habitual y sistemática de interesados a gran escala.
  • Si las actividades principales del responsable o del encargado del tratamiento se basan en una gestión a gran escala de categorías especiales de datos personales. O de datos referidos a condenas e infracciones penales.

Es importante tener en cuenta que el hecho de contratar un Encargado que sí tenga un DPO no nos exime de tener nuestro propio DPO como Responsable de tratamiento, en el caso de que cumplamos los requisitos.

LOPDGDD: Casos en los que es obligatorio nombrar un DPO

La nueva LOPDGDD, aprobada en diciembre de 2018, incluye una lista concreta de casos en los que será obligatorio el nombramiento de un DPO.

Estos son los siguientes:

  • Colegios profesionales y sus consejos generales
  • Centros de enseñanza que dispongan de una formación regulada por la Ley Orgánica de Educación
  • Universidades públicas y privadas.
  • Empresas cuya actividad  sea la explotación de redes y prestación de servicios de comunicaciones electrónicas. Siempre que manejen de manera habitual y sistemática datos personales a gran escala.
  • Sociedades prestadoras de servicios de la sociedad de la información cuando se dediquen a elaborar perfiles de los usuarios del servicio a gran escala.
  • Empresas de crédito.
  • Compañías financieras de crédito
  • Organizaciones aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Entidades distribuidoras y comercializadoras de energía eléctrica y de gas natural
  • Empresas responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude. Incluyendo a los responsables de los ficheros regulados por  la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Organismos cuyas actividades principales sean la publicidad y prospección comercial. Incluyendo las de investigación comercial y de mercados, cuando efectúen tratamientos fundamentados en las preferencias de los afectados o efectúen actuaciones que supongan la elaboración de perfiles de los mismos.
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • Empresas cuya principal actividad consista en emitir informes comerciales referidos a personas físicas.
  • Compañías dedicadas a la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
  • Quienes se dediquen a realizar las actividades reguladas por la Ley de Seguridad Privada.

¿Por qué debo nombrar un DPO?

¿Estás en la lista anterior de empresas obligadas a designar un DPO?

Tanto si es así como si no, lo recomendable es nombrar un Delegado de Protección de Datos. Sobre todo si manejas grandes cantidades de datos personales o tienes datos sensibles.

Y aquí tienes tres razones por las que es aconsejable ese nombramiento.

El DPO supervisa el cumplimiento del RGPD

El nombramiento de un Delegado de Protección de Datos no es solo es un requisito para cumplir el RGPD, sino que puede ser de gran ayuda a la hora de aplicar el resto de exigencias del Reglamento.

El DPD guiará a los departamentos por las directrices de la nueva legislación, las cuales deberán acometerse desde el inicio de un proyecto hasta la finalización del mismo.

Garantizar la aplicación del RGPD en todas las fases de un proyecto supone la implicación de RRHH, del área financiera y legal, así como del consejo de dirección, planificación comercial, diseño y estructura web e infraestructura IT.

Es importante destacar que el DPD debe evitar conflictos y velar por los intereses del individuo por encima de los de la propia organización.

Ayudará en los informes sobre violaciones de seguridad

Los encargados del tratamiento que sufran una violación de seguridad deberán notificarla al responsable del tratamiento quien, a su vez, tiene que comunicarla a la autoridad de control y a los interesados si fuese necesario.

Una de las funciones del DPD será ayudar al encargado y al responsable a reportar la brecha de seguridad en las 72 h posteriores al descubrimiento de la violación.

Según el artículo 83 del RGPD, “el modo en que la autoridad de control se haga eco de la violación de seguridad será determinante para la imposición de la multa”.

Puede ser un requisito legal

Como hemos señalado anteriormente, el Reglamento indica que las autoridades públicas y las empresas que lleven a cabo un seguimiento sistemático a gran escala de personas, o bien el procesamiento de gran magnitud de categorías especiales de datos, deben nombrar un DPD.

A priori, puede parecer que solo las grandes compañías tienen que ajustarse a este requisito. Sin embargo, también incumbe a pymes u organizaciones pequeñas como, por ejemplo, escuelas o parroquias.

Y recuerda, el DPO puede ser tanto una persona de la propia empresa como alguien contratado externamente.

Obligaciones de las empresas

La figura del Delegado de Protección de Datos es esencial para garantizar el cumplimiento de la normativa europea y se convierte en un elemento de control y comunicación con la autoridad.

Por ello las empresas asumen una serie de obligaciones con el DPO como:

  • Suministrar y publicar los datos y los medios de contacto con el Delegado de Protección de Datos con la finalidad de establecer un contacto permanente y transparente con su figura.
  • Proporcionarle acceso a toda la información de la empresa y de su relación con los datos de los clientes que se almacenan para facilitar en su trabajo.
  • Informarle sobre la estructura de personal y proporcionarle los recursos para el cumplimiento de sus funciones, así como de los medios económicos que garanticen su trabajo.
  • Darle la formación continua necesaria para estar actualizado de forma permanente y obtener conocimientos a nivel experto en la materia de la que se ocupa.
  • La empresa no podrá sugerir o dar órdenes directas que condicionen o imposibiliten la labor del DPO y que, por supuesto, vayan en contra de la normativa europea. Así, el RGPD impone la obligación de garantizar una estabilidad laboral al Delegado de Protección de Datos.

¿Tienes claro si debes contratar un DPO? Espero que me comentes cualquier duda.

¿Qué empresas deben nombrar un Delegado de Protección de Datos?
4.6 (92%) 5 votos