Designación de un delegado de protección de datos

por | Dic 29, 2022 | Blog especializado en Protección de Datos | 0 Comentarios

delegado de protección de datos

¿Cuándo es obligatorio?

Para algunas empresas, la designación de un delegado de protección de datos, resulta obligatorio conforme a lo estipulado por la ley. No obstante, algunas otras empresas a las que no les recae dicha obligación, designan dicha función de manera voluntaria.

La normativa de protección de datos se encarga de describir en cuáles supuestos es obligatorio.

Por una parte, el artículo 37.1 del RGPD enumera los siguientes casos:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

proteccion de datos

Y por otra parte, la LOPDGDD señala en su artículo 34 una lista taxativa:

  • Colegios profesionales y sus consejos generales
  • Centros docentes
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles
  • Entidades de crédito
  • Establecimientos financieros de crédito
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y de gas natural
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude y los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo
  • Entidades que desarrollen actividades de publicidad y prospección comercial en relación a los tratamientos de preferencias y elaboración de perfiles
  • Centros sanitarios
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas
  • Operadores que desarrollen la actividad de juego
  • Empresas de Seguridad Privada
  • Federaciones deportivas
  • Quienes desempeñen las actividades de Seguridad Privada

Sanción de 25.000 euros por no tener DPO

Recientemente, la Audiencia Nacional confirmó la sanción de 25 mil euros a Glovo por carecer de un DPO.

La sentencia inicia en el año 2020, cuando la Agencia Española de Protección de Datos recibe dos reclamaciones formuladas contra Glovoapp23 SL, basadas en la ausencia de DPO al que dirigir sus reclamaciones y basadas en que para ejercer el derecho de acceso hay que descargar un formulario del portal web, rellenarlo y enviarlo por vía postal y fotocopia DNI a la sede de la empresa. Ante ello, la AEPD multa a Glovo y contra esta resolución la empresa interpone recurso contencioso administrativo ante la Audiencia Nacional.

Glovo intentó justificarse aludiendo que cumplía con el requisito exigido por el RGPD pues actuaba como garante de los derechos de los interesados un Comité de protección de Datos y en su auxilio existía un Subcomité. Es decir, Glovo disponía de un Comité de Protección de Datos con el fin de cubrir los ámbitos técnicos de la empresa que lleva a cabo las funciones del delegado de protección de datos.

Sin embargo, se consideró que la existencia de un Comité interno no es equiparable al delegado, y tampoco se había comunicado y registrado tal como se requiere. Y en la sentencia les resaltan la finalidad última del DPD es dar una adecuada y rápida respuesta a los interesados y es una obligación contenida en el art. 37 RGPD.

Sanciones legales

El Reglamento le da la facultad a cada Estado para aplicar sus propias sanciones. Y es así como, en el artículo 73 de la LOPDGDD considera sanción grave:

«El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”.

Ahora bien, ¿cuáles son las funciones del DPO y cómo se lo designa?

La designación del DPD debe determinarse atendiendo a una serie de cualidades profesionales y conocimientos especializados teóricos y prácticos en materia de protección de datos que la persona o entidad que asuma el rol debe tener. El DPO, además, debe reunir unas competencias y habilidades personales que le permitan adentrarse en el contexto de la organización a la que asiste, conocer los procesos de su actividad y ofrecer soluciones funcionales.

Algunas de sus funciones son:

  • Informar y asesorar al responsable o al encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
  • Supervisar el cumplimiento de la normativa.
  • Asesorar respecto de la evaluación de impacto relativa a la protección de datos.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto para cuestiones relativas al tratamiento.

Conclusión

Hay que tener en cuenta que la designación de un Delegado de Protección de Datos resulta un eximente a la hora de aplicarse sanciones. Es decir que, contar con dicha figura podría ayudar a la hora de aplicarse una sanción.

Dada la existencia de una serie de obligaciones atribuibles a la figura del DPO, resulta fundamental que cada empresa implementa la estructura y modelo en materia de protección de datos personales que mejor se ajuste

Lo relevante en cuanto al diseño del modelo que se decida utilizar es que con él se garantice que el DPO ofrece un servicio de calidad y cumple con los requisitos de independencia y de ausencia de conflicto de interés en la realización de sus funciones. a sus necesidades.

Es evidente que las exigencias normativas en esta materia están siendo inspeccionadas, y resultan igual de obligatorias que las exigencias que conocemos al crear una empresa. Debemos tomarnos el tiempo para dedicarnos a verificar en qué punto se encuentra nuestras actividades laborales, para saber hacia dónde dirigirnos para cumplir con la ley.

Si tienes dudas puedes consultarnos y si te ves reflejado en la obligación de tener un Delegado de Protección de Datos, puedes pedirnos un presupuesto lo más ajustado posible.

 

Artículos relacionados

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y el contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos. Información sobre protección de datos
  • Responsable: AAAAA
  • Fin del tratamiento: Controlar el spam, gestión de comentarios
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  • Derechos: Acceso, rectificación, portabilidad, olvido.
  • Contacto: EEEEE
  • Información adicional: Más información en nuestra política de privacidad.