Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

Artículo

¿Qué entidades necesitan un Delegado de Protección de Datos ?

07/01/2020

¿Qué entidades necesitan un Delegado de Protección de Datos ?

El RGPD no aclara con detalle qué entidades están obligadas a designar un DPD, sino que sólo da unas directrices generales (artículo 37). Según el reglamento europeo sólo necesitarían nombrar un DPD las Administraciones Públicas y un reducido número de empresas: por un lado, las que se dedican a la observación sistemática de personas por medios físicos (videovigilancia) o informáticos (plataformas digitales o empresas de marketing que vigilan cada click que hacemos en páginas web o redes sociales); y por otro lado, los grandes hospitales y otras entidades que tratan datos sensibles «a gran escala».

 

La nueva Ley Orgánica de Protección de Datos (LOPD)

 

Ese concepto jurídico indeterminado de «gran escala» dejó una gran inseguridad jurídica, que la nueva LOPD ha intentado solucionar detallando ahora un amplio listado de todos los obligados a designar un DPD (artículo 34). Además, la LOPD incluye varias remisiones a diferentes leyes sectoriales que amplían notablemente el número de obligados.

 

Por el momento se aprecia una preocupante falta de información en esta materia, porque se está debatiendo mucho sobre la utilización de datos personales por los partidos políticos, por ejemplo, pero hay multitud de empresas y profesionales afectados que no saben que tienen esta nueva obligación, que ya está vigente. A diferencia del reglamento europeo, la LOPD afecta directamente a muchas PYMES y autónomos, porque la nueva ley regula esta obligación de nombrar DPD en función del tipo de actividad que se realice, sin importar el tamaño, el número de empleados o el volumen de facturación de cada empresa.

 

Listado completo de obligados a nombrar un DPD:

(además de todos los que ya estaban obligados por el RGPD)

 

  • Colegios profesionales.
  • Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
  • Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios).
  • Entidades bancarias y compañías de seguros.
  • Compañías de energía, electricidad y gas.
  • Responsables de ficheros de morosos.
  • Agencias de publicidad (cuando elaboren perfiles de los usuarios).
  • Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
  • Entidades que realicen informes comerciales de personas físicas.
  • Operadores de juego online.
  • Empresas de seguridad privada.
  • Federaciones deportivas (cuando traten datos de menores de edad).
  • Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010), que a su vez afecta a multitud de sectores diversos:
    • Entidades de crédito, compañías de seguros y empresas de servicios de inversión.
    • Instituciones de inversión colectiva, sociedades de inversión, fondos de pensiones, sociedades de capital-riesgo, sociedades de garantía recíproca.
    • Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
    • Promotores inmobiliarios, APIs y agencias inmobiliarias.
    • Auditores de cuentas, contables externos y asesores fiscales.
    • Notarios registradores.
    • Abogados, procuradores u otros profesionales (cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines a una sociedad).
    • Casinos de juego.
    • Joyeros.
    • Galerías de arte anticuarios.
    • Depósito, custodia o transporte de fondos o medios de pago.
    • Loterías y otros juegos de azar.
    • Fundaciones y asociaciones.
    • Gestores de sistemas de pago y tarjetas de crédito.

 

¿Por qué nombrar un DPO si no estás en estos supuestos?

 

El DPO supervisa el cumplimiento del RGPD

 

El nombramiento de un Delegado de Protección de Datos no es solo es un requisito para cumplir el RGPD, sino que puede ser de gran ayuda a la hora de aplicar el resto de exigencias del Reglamento.

El DPD guiará a los departamentos por las directrices de la nueva legislación, las cuales deberán acometerse desde el inicio de un proyecto hasta la finalización del mismo.

 

Garantizar la aplicación del RGPD en todas las fases de un proyecto supone la implicación de distintos departamentos de la empresa como: RRHH, del área financiera y legal, así como del consejo de dirección, planificación comercial, diseño y estructura web e infraestructura IT.

 

Es importante destacar que el DPD debe evitar conflictos y velar por los intereses del individuo por encima de los de la propia organización.

 

Ayudará en los informes sobre violaciones de seguridad

 

Los encargados del tratamiento que sufran una violación de seguridad deberán notificarla al responsable del tratamiento quien, a su vez, tiene que comunicarla a la autoridad de control y a los interesados si fuese necesario.

 

Una de las funciones del DPD será ayudar al encargado y al responsable a reportar la brecha de seguridad en las 72 h posteriores al descubrimiento de la violación.

 

Según el artículo 83 del RGPD, “el modo en que la autoridad de control se haga eco de la violación de seguridad será determinante para la imposición de la multa”. Esto significa que, si se demuestra que la empresa había adoptado las medidas de seguridad adecuadas para proteger la información, la multa será menor.