Delegado de Protección de Datos
¿Cuándo hay tener un Delegado de Protección de Datos?
Una empresa está obligada a disponer de un Delegado de Protección de Datos cuando:
El tratamiento de datos personales lo lleve a cabo una autoridad pública, excepto los tribunales que actúen en ejercicio de su función judicial.
Por ejemplo: un ayuntamiento, una mancomunidad, etc.
Cuando las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala.
Por ejemplo: grandes tiendas online con mucho tratamiento de datos personales, empresas de video vigilancia y seguridad, empresas que trabajen con big data, etc.
Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos, es decir:
- Origen étnico o racial
- Opiniones políticas, convicciones religiosas o filosóficas
- La afiliación sindical
- El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física
- Datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona física, como una clínica o un hospital.
- Condenas e infracciones penales o medidas de seguridad conexas
¿Qué nos dice el el RGPD al respecto?
Por su parte, y dado que el RGPD había sido quizás demasiado genérico, la LOPD-GDD ha concretado caso por caso, quienes deberán nombrar un DPD de forma obligatoria:
- Colegios profesionales y sus consejos generales. Son asociaciones de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
- Y los centros docentes y las Universidades públicas y privadas.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas. Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten perfiles a gran escala.
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio
- Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
- Entidades de crédito como los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
- Los establecimientos financieros de crédito.
- Aseguradoras y reaseguradoras
- Servicios de inversión. Son las que ofrecen servicios de inversión bursátiles y de fondos de ahorro.
- Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural
- Responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
- Las entidades que desarrollen actividades de publicidad y prospección comercial. Se incluyen aquellas empresas que se dediquen al marketing elaborando perfiles del consumidor.
- Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes; excepto los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas física
- Operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos. En este caso incluimos a las entidades que ofrecen apuestas deportivas online, así como también juegos de casino.
- Empresas de seguridad privada. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. Se incluyen en este caso empresas que proporcionan seguridad privada, así como también los despachos de detectives privados.
- Federaciones deportivas cuando traten datos de menores de edad
- Distribuidores y comercializadores de electricidad. En este caso no solo comprendemos a las compañías eléctricas, sino también a las entidades que venden al público esa electricidad.
¿Puedo tener un mismo DPD para todas mis empresas?
Para los grupos empresariales, se permite de forma expresa nombrar a un único Delegado de Protección de Datos para todas sus entidades integrantes, siempre que resulte viable el ejercicio de su función en todas ellas.
Y lo mismo sucede cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se permite nombrar a uno solo para varios organismos dependientes, teniendo siempre en cuenta su estructura organizativa y tamaño.
¿Tengo que contratar un Delegado de Protección de Datos externo?
El Delegado de Protección de Datos podrá ser un empleado asalariado del responsable
Un asesor externo como Lexsuite Consuting, o bien, desempeñar sus funciones a través de un contrato mercantil de servicios.
¿Puedo tener un Delegado de Protección de Datos de forma voluntaria?
La mayoría de las organizaciones no es obligatorio
Pero la Agencia Española de Protección de Datos valora muy positivamente disponer de uno de forma voluntaria
Ya que demuestra proactividad en el cumplimiento y preocupación, por parte de la empresa en la implantación de la LOPD en su organización.
En Lexsuite Consulting Protección de Datos, realizamos este servicio.
Es importante tener en cuenta que el RGPD, impone la obligación de que los datos de contacto del Delegado de Protección de Datos sean comunicados a la autoridad de control (AEPD o sus homónimas autonómicas).
De tal forma, que el DPD será identificado por la Agencia y actuará como interlocutor entre la AEPD y el responsable o encargado del tratamiento.
¿Cuáles son las funciones de un DPD/DPO?
Las funciones del Delegado de Protección de Datos están expresamente reguladas en el artículo 39 del RGPD y establece unas obligaciones mínimas:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben en todo lo relacionado con la implantación de políticas de protección de datos.
- Comprobar el cumplimiento del RGPD y la LOPDGDD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
- Ofrecer el asesoramiento relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo de su aplicación interna
- Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
- Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice relativa a la protección de datos.
- Asesorar a los empleados durante el tratamiento de datos.
- Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
- Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
- Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
- Realización de acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
- Formar al personal que participa en las operaciones de tratamiento de datos.
- Supervisar las evaluaciones de impacto en la protección de datos.
- Control, coordinación y verificación de las medidas de seguridad aplicables.
- Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos
- Atender las consultas que los interesados realicen a la entidad, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
- Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.
- Actuar como punto de contacto con la Agencia Española de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
- Cooperar con la autoridad de control.
¿Si me sancionan, es responsabilidad del DPD?
No, el sancionado siempre es el responsable de tratamiento, es decir, la empresa
¡Llame sin compromiso!
900 900 487