Entradas

Qué empresas están obligadas a tener un Delegado de Protección de Datos (DPO)

La nueva normativa en protección de datos incorpora novedades claras sobre qué hacer con los datos y dónde guardarlos pero es poco precisa sobre en qué casos es obligatorio tener una persona especifica que se ocupe de estos.

La obligatoriedad de designación se establece en tres supuestos:

  • Organismos Públicos. Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
  • Empresas con actividades regulares y sistemáticas. Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Delitos y Condenas. Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

De los tres supuestos, el primero y el tercero no dejan lugar a la duda.  Para entender el segundo punto deberemos definir que son actividades regulares y sistemáticas a gran escala. Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia. Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.

Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa. El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de datos a gran escala.

En resumen, el artículo 34 del Proyecto de la Ley General de Protección de Datos (PLOPD) detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:

  • Colegios profesionales y sus consejos generales
  • Centros docentes
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la sociedad de la información
  • Entidades de crédito
  • Establecimientos financieros de crédito
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y de gas natural
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
  • Entidades que desarrollen actividades de publicidad y prospección comercial
  • Centros sanitarios
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  • Operadores que desarrollen la actividad de juego
  • Quienes desempeñen las actividades de Seguridad Privada
  • Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD).

A partir de esa fecha será de obligado cumplimiento en todo el territorio de la Unión Europea (UE) y para todas las empresas, autónomos y administraciones públicas de los Estados miembros.

La modificación de la antigua LOPD entró en 2016 y se han permitido dos años de adaptación que expiran el próximo 25 de mayo. Esto quiere decir que quien no esté adaptado a la nueva normativa en esa fecha está expuesto a multas de hasta el 4% de su facturación anual o 20.000.000 euros.

Los cambios más destacados implican directamente al usuario ya que cobra protagonismos pasando de ser un sujeto pasivo a activo:

  • Recogida de datos para un uso concreto. La información suministrada para recabar datos tiene que ser clara para que sea fácilmente comprendida por el interesado. Además, los datos tienen que ser recogidos para un uso determinado y previamente establecido que además tiene que ser legítimo.
  • Tratamiento lícito de los datos. Esto quiere decir que el usuario debe dar el consentimiento expreso para su uso, que los datos sean utilizados para la firma de un contrato en el que el interesado interviene o cuando sean imprescindibles para para proteger intereses legítimos.
  • Deben mantenerse actualizados y almacenados de un modo en el que quede garantizada su seguridad.
  • Restringidos a la UE y con marco de protección. Está prohibido enviar datos personales fuera de Espacio Económico Europeo a un país que no ofrezca la suficiente protección a los mismos.
  • Conocer para qué recaban tus datos y derecho a llevártelos cuando quieras. Se amplía el derecho de las personas a conocer la finalidad y el tratamiento de sus datos personales cuando le sean solicitados. El interesado tiene derecho a mover, copiar o transferir de manera personal sus datos a otra empresa, incluso cuando quiera llevárselos a la competencia.
  • Comunicar el robo de datos. Si existen violaciones en la seguridad de la protección de datos los responsables de estos tienen que avisar a las autoridades competentes en menos de 72 horas.
  • Responsable en unos casos o DPO en otros. La gran mayoría de las empresas tendrán que tener un responsable de esos ficheros y solo están obligados a designar a un Delegado de Protección de Datos (DPO) si la empresa lleva a cabo una observación habitual y sistemática de interesados y si tratas a gran escala categorías especiales de datos.
  • Sanciones por incumplimiento. Y cuidado con no adecuarse al RGPD porque se prevén sanciones al incumplimiento que podrán llegar a los 20 millones de euros o al 4% del volumen de negocio dependiendo de los casos.