¿Debo nombrar un Delegado de Protección de Datos?

Entre las aclaraciones proporcionadas por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (nueva LOPD) se encuentra el régimen del Delegado de Protección de Datos. Para entender plenamente el rol de esta nueva figura es preciso tener en cuenta la evolución del sistema de protección de datos. El actual sistema, a diferencia del anterior, descansa en el principio de responsabilidad activa, lo que exige una previa valoración del riesgo que pudiera generar el tratamiento de datos personales.

Como norma general, el Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), obliga a contar con un Delegado de Protección de Datos a todo responsable o encargado del tratamiento que:

  1. realice tratamientos de datos personales, siendo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. realice como actividad principal operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
  3. realice como actividad principal el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Ante la dificultad que supuso y supone esta definición para delimitar los casos en los que el nombramiento de un Delegado de Protección de Datos resulta obligatorio, la LOPD establece la siguiente lista abierta de entidades que en cualquier caso deberán contar con un Delegado de Protección de Datos:

  • los colegios profesionales y sus consejos generales;
  • los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas;
  • las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala;
  • los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio;
  • las entidades de crédito;
  • los establecimientos financieros de crédito;
  • las entidades aseguradoras y reaseguradoras;
  • las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores;
  • los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural;
  • las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo;
  • las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos;
  • los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual);
  • las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas;
  • los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego;
  • las empresas de seguridad privada; y
  • las federaciones deportivas cuando traten datos de menores de edad.

Como mencionábamos, esta es una lista abierta, pudiendo ser obligatoria la designación de un Delegado de Protección de Datos para entidades que no se encuentren comprendidas en la misma, siempre que cumplan con alguna de las características especificadas en el artículo 37.1 RGPD, que la obliguen a contar con el mismo.

Asimismo, mientras el RGPD aclaraba que, en algunos casos, era posible nombrar un único Delegado de Protección de Datos para todo un grupo empresarial, o que el Delegado de Protección de Datos no tenía por qué formar parte de la plantilla de la empresa, pudiendo externalizarse, la LOPD añade luz a otros aspectos que estaba aún por clarificar. En este sentido, la LOPD establece que el Delegado de protección de Datos podrá ser tato persona física como persona jurídica.

En cuanto a los plazos para el ejercicio de derechos por parte de los interesados, la LOPD amplía el plazo general de respuesta a las solicitudes de uno a dos meses.

Por lo demás, la nueva LOPD aclara que el DPO no está sujeto al régimen sancionador previsto en dicha Ley.

Los extremos apuntados precisan conceptos que hasta ahora no estaban claros y permiten una identificación más clara del régimen y funciones del Delegado de Protección de Datos.

Autor: Pedro Méndez de Vigo

Autores:

Asociado

5 artículos



pedro.mendezdevigo@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *