¿ MI EMPRESA ESTÁ OBLIGADA A CONTRATAR A UN DPD?

El Delegado o Delegada de Protección de Datos (DPD) constituye uno de los elementos claves del RGPD, y es un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho y legislación en materia de protección de datos.

En cualquier caso la empresa tendrá que valorar las competencias de su DPD en función de conocimientos, prácticas en la materia y experiencia en la adaptación, implantación y auditorías de sistemas, documentos y procesos relacionados con el tratamiento y la gestión de los datos y su protección y privacidad.

El DPD  podrá ser interno o externo, y será una persona física o persona jurídica especializada en esta materia.

Su tarea principal es contribuir al cumplimiento de las normas de protección de datos en su organización. Esto se logra, por ejemplo, mediante una formación y concienciación  a los empleados en la normativa y las políticas relativas a la protección de datos. La comprensión de los procesos de procesamiento de datos también es importante, para que estos puedan controlarse de manera transparente. Sus funciones están reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado del tratamiento.

¿ESTOY OBLIGADO A CONTRATAR A UN DPD?

No todas las empresas están obligadas a tener un DPD. La obligatoriedad no está en el tamaño de la empresa sino en la actividad, el volumen de datos que se maneje o el tipo de tratamientos que se hagan de los mismos. Si bien el Art 37 deja bien claro QUIÉN ESTÁ OBLIGADO A CONTRATAR UN DPD.

Si quien está obligado es un GRUPO EMPRESARIAL puede nombrar un solo DPD para todo el Grupo, siempre que sea fácilmente accesible desde cada establecimiento.

Es OBLIGATORIO tener un DPD (Art 37, RGPD):

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Responsables o Encargados del tratamiento que tengan entre sus actividades principales tratamientos que, por naturaleza, alcance y/o fines,  requieran una observación habitual y sistemática de interesados a gran escala, es decir, cuando el tratamiento se lleve a cabo haciendo un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de datos, tanto si se hace off line como si se hace on line.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos o el tratamiento de datos sensibles

TAMBIÉN ESTÁN OBLIGADOS A CONTRATAR UN DPD

  • Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
  • Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
  • Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
  • Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

Por ejemplo: aquellas empresas cuya actividad principal consiste en prestar servicios de inversión, con carácter profesional, a terceros sobre los instrumentos financieros.

  • Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
  • Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. En este caso, están obligadas: Empresas de seguridad privada, personal de seguridad privada, despachos de detectives, servicios de seguridad privada.

El Reglamento, también enumera otros motivos (no obligatorios) por los que recomiendan la designación del DPD:

  • Complejidad legal creciente de los tratamientos de datos personales como p.e. transferencias internacionales.
  • Mayor concienciación de los interesados sobre sus derechos y la manera de cómo proteger sus datos personales.
  • La protección de la privacidad de los clientes. En el caso de las empresas vinculadas con el sector sanitario.
  • Las sanciones que pueden recaer sobre la empresa en caso de incumplimiento.

¿Qué pasa si no nombro a un Delegado de Protección de Datos (DPD)?

Si la empresa no tiene nombrado un DPD cuando sea necesario puede dar lugar a consecuencias significativas.

Las sanciones pueden llegar a los 20.000.000 € (si, si ha leído bien: 20 millones de euros)  o el 4% del volumen de negocios mundial de la empresa, aplicándose la de mayor cuantía.

Necesito una Auditoría de Adaptación, para conocer el alcance de todo lo que tengo que cumplir en mi empresa con el nuevo RGPD. Le ayudamos.