Posts

Qué empresas están obligadas a tener un Delegado de Protección de Datos (DPO)

La nueva normativa en protección de datos incorpora novedades claras sobre qué hacer con los datos y dónde guardarlos pero es poco precisa sobre en qué casos es obligatorio tener una persona especifica que se ocupe de estos.

La obligatoriedad de designación se establece en tres supuestos:

  • Organismos Públicos. Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
  • Empresas con actividades regulares y sistemáticas. Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Delitos y Condenas. Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

De los tres supuestos, el primero y el tercero no dejan lugar a la duda.  Para entender el segundo punto deberemos definir que son actividades regulares y sistemáticas a gran escala. Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia. Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.

Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa. El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de datos a gran escala.

En resumen, el artículo 34 del Proyecto de la Ley General de Protección de Datos (PLOPD) detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:

  • Colegios profesionales y sus consejos generales
  • Centros docentes
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la sociedad de la información
  • Entidades de crédito
  • Establecimientos financieros de crédito
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y de gas natural
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
  • Entidades que desarrollen actividades de publicidad y prospección comercial
  • Centros sanitarios
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  • Operadores que desarrollen la actividad de juego
  • Quienes desempeñen las actividades de Seguridad Privada
  • Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.