Qué empresas están obligadas a tener un Delegado de Protección de Datos (DPO)
La nueva normativa en protección de datos incorpora novedades claras sobre qué hacer con los datos y dónde guardarlos pero es poco precisa sobre en qué casos es obligatorio tener una persona especifica que se ocupe de estos.
La obligatoriedad de designación se establece en tres supuestos:
- Organismos Públicos. Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
- Empresas con actividades regulares y sistemáticas. Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Delitos y Condenas. Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
De los tres supuestos, el primero y el tercero no dejan lugar a la duda. Para entender el segundo punto deberemos definir que son actividades regulares y sistemáticas a gran escala. Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia. Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.
Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa. El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de datos a gran escala.
En resumen, el artículo 34 del Proyecto de la Ley General de Protección de Datos (PLOPD) detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:
- Colegios profesionales y sus consejos generales
- Centros docentes
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas
- Prestadores de servicios de la sociedad de la información
- Entidades de crédito
- Establecimientos financieros de crédito
- Entidades aseguradoras y reaseguradoras
- Empresas de servicios de inversión
- Distribuidores y comercializadores de energía eléctrica y de gas natural
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
- Entidades que desarrollen actividades de publicidad y prospección comercial
- Centros sanitarios
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
- Operadores que desarrollen la actividad de juego
- Quienes desempeñen las actividades de Seguridad Privada
- Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.