¿Cuándo es obligatorio nombrar un Delegado de Protección de datos?

Qué hace el Delegado de Protección de datos

Por
18/03/2021

La figura del Delegado de Protección de Datos (DPD) constituye uno de los elementos clave del Reglamento general de Protección de Datos (RGPD) y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones. Existen algunos supuestos en los que es obligatorio nombrar un Delegado de Protección de datos, en la tribuna de hoy vamos a profundizar en estos supuestos.

Obligación de nombrar un Delegado de Protección de Datos

Tanto el RGPD como la Ley LOPD 3/2018 regulan una serie de supuestos en los que es obligatoria la designación de un Delegado de protección de Datos por parte de los responsables y encargados del tratamiento.

El RGPD recoge los supuestos en que es obligatorio nombrar un Delegado de Protección de Datos en su artículo 37.1, estos supuestos son:

  1. El tratamiento lo lleve a cabo una autoridad u organismo público.
  2. Las principales responsabilidades del encargado del tratamiento consistan en operaciones del tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran la observación habitual y sistemática de interesados a gran escala.
  3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

La LOPD 3/2018 recoge los supuestos en que es obligatorio nombrar un Delegado de Protección de Datos en su artículo 34.1, estos supuestos son:

  1. Colegios profesionales y sus consejos generales.
  2. Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  3. Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Establecimientos financieros de crédito.
  7. Aseguradoras y reaseguradoras.
  8. Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Organizaciones que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
    • Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  14. Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  15. Empresas de seguridad privada.
  16. Federaciones deportivas cuando traten datos de menores de edad.

Además, los responsables o encargados del tratamiento no incluidos en el listado anterior podrán nombrar de manera voluntaria un delegado de protección de datos que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la Ley orgánica 3/2018.

Obligaciones en la designación de un Delegado de Protección de Datos

El responsable o el encargado del tratamiento tienen la siguientes obligaciones cuando nombra un Delegado de Protección de Datos:

  1. Publicar los datos de contacto del delegado de protección de datos
  2. Comunicar a designación a la autoridad de control.

Posición del Delegado de Protección de datos

Este perfil dedicado a proteger datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

Delegado de Protección de Datos certificado

El delegado para la protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el RGPD y la LOPD 3/2018.

Con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado, la AEPD ha optado por promover un Esquema de Certificación de DPD de carácter voluntario.

Puede ampliar esta información en el artículo: Obtener la Certificación como Delegado de protección de datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS