the art of being legal


Com funciona el Delegat de Protecció de Dades a Espanya

Protección de datos

En determinades situacions és necessari que una empresa contracti un Delegat de Protecció de Dades (DPD) perquè li doni suport en el compliment de les seves responsabilitats en matèria de protecció de dades.  Tant els Responsables del tractament com els Encarregats del tractament poden estar obligats a contractar un DPD, però és important tenir en compte que la seva funció és de suport i assessorament, no de complir en nom seu les obligacions del responsable del tractament o del encarregat del tractament.  d'acord amb el principi de responsabilitat activa del RGPD, tant els Responsables com els Encarregats del Tractament que contractin un DPD han de continuar exercint un paper actiu en els procediments de protecció de dades de la empresa i assumir-ne la responsabilitat.  En aquest article explicarem qui ha de contractar un DPD i què implica aquest càrrec.

Article escrit per

Abigail Sked

Assessora legal mercantil

Abigail Sked és assessora legal a Conesa Legal, especialitzada en dret mercantil i protecció de dades. Acompanya empreses en la redacció i negociació de contractes i en el compliment normatiu.

Veure perfil professional

No esteu segurs de si sou responsable del tractament o encarregat del tractament?  Consulteu aquest article nostre per conèixer els aspectes fonamentals del RGPD. 

Com funciona el Delegat de Protecció de Dades a Espanya

Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)

Quines empreses han de contractar un delegat de protecció de dades? 

Tot dependrà del tipus de dades que tracta la vostra empresa, com es tracten aquestes dades i a quina escala. 

 

La vostra organització és una autoritat pública, tracta categories especials de dades a gran escala o observa de manera habitual i sistemàtica els interessats? 

El RGPD (article 37) estableix que els Responsables i Encarregats del Tractament han de designar un Delegat de Protecció de Dades en els casos següents: 

  • el tractament el dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en l'exercici de la seva funció judicial;
  • les activitats principals del responsable o de l'encarregat consisteixin en operacions de tractament que, per la seva naturalesa, abast i/o finalitats, requereixin una observació habitual i sistemàtica d'interessats a gran escala, o
  • les activitats principals del responsable o de l'encarregat consisteixin en el tractament a gran escala de categories especials de dades personals (dades personals que revelin l'origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l'afiliació sindical, dades genètiques, dades biomètriques, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d'una persona física) i de dades relatives a condemnes i infraccions penals.

Excepte pel que fa a les autoritats públiques, això potser ens deixa més confosos que abans a causa de paraules imprecises com ara "gran escala" i "activitats principals".  Per sort, tant la legislació espanyola com les directrius de la Unió Europea ofereixen alguns aclariments. 

 

Exemples d'organitzacions que necessiten un DPD

La Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) (article 34) ha assenyalat certes situacions concretes en què caldrà designar un DPD: 

  • Els col·legis professionals i els seus consells generals.
  • Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l'educació, així com les universitats públiques i privades.
  • Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques d'acord amb el que disposa la seva legislació específica, quan tractin de manera habitual i sistemàtica dades personals a gran escala.
  • Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
  • Les entitats incloses en l'article 1 de la Llei 10/2014, de 26 de juny, d'ordenació, supervisió i solvència d'entitats de crèdit.
  • Els establiments financers de crèdit.
  • Les entitats asseguradores i reasseguradores.
  • Les empreses de serveis d'inversió, regulades per la legislació del Mercat de Valors.
  • Els distribuïdors i comercialitzadors d'energia elèctrica i els distribuïdors i comercialitzadors de gas natural.
  • Les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent-hi els responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
  • Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent-hi les d'investigació comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l'elaboració de perfils d'aquests.
  • Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients.
    • S'exceptuen els professionals de la salut que, tot i estar legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.
  • Les entitats que tinguin com un dels seus objectes l'emissió d'informes comercials que puguin referir-se a persones físiques.
  • Els operadors que desenvolupin l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, d'acord amb la normativa de regulació del joc.
  • Les empreses de seguretat privada.
  • Les federacions esportives quan tractin dades de menors d'edat.

 

La comparació següent facilitada per la Comissió Europea posa de relleu la importància de considerar si la teva empresa tracta dades a gran escala o de manera possiblement invasiva

El DPD és obligatori, per exemple, en els casos següents:

  • dirigeixes un hospital que tracta grans quantitats de dades sensibles,
  • ets una empresa de seguretat responsable del control de centres comercials i espais públics,
  • dirigeixes una petita empresa de cerca de talents que elabora perfils de persones.

El DPD no serà obligatori en els casos següents:

  • ets un metge de família que realitza el tractament de les dades personals dels seus pacients,
  • tens una petita empresa que realitza el tractament de les dades personals dels seus clients.

 

Què signifiquen els criteris "elaboració de perfils", "activitat principal", "observació sistemàtica", "tractament a gran escala"?

Elaboració de perfils

Tota forma de tractament automatitzat de dades personals consistent en utilitzar dades personals per avaluar determinats aspectes personals d'una persona física, en particular per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d'aquesta persona física.  (article 4 RGPD)

Activitats principals 

Les operacions clau necessàries per assolir els objectius del responsable o de l'encarregat del tractament. Aquestes activitats inclouen també totes aquelles en què el tractament de dades sigui una part indissociable de l'activitat del responsable o l'encarregat del tractament. Per exemple, el tractament de dades relatives a la salut, com ara historials de pacients, s'ha de considerar una de les activitats principals de qualsevol hospital i, per això, els hospitals han de designar un DPD. 

Les activitats que totes les empreses duen a terme, com pagar els empleats o realitzar activitats ordinàries de suport de TI, tot i que necessàries, normalment no constitueixen l'activitat principal de la empresa. 

Observació habitual i sistemàtica

Inclou totes les formes d'observació i elaboració de perfils a internet, fins i tot amb finalitats de publicitat comportamental, però no es limita a l'entorn d'internet.

Exemples d'activitats que poden constituir una observació habitual i sistemàtica d'interessats són: operar una xarxa de telecomunicacions; prestar serveis de telecomunicacions; redirigir correus electrònics; activitats de màrqueting basades en dades; elaborar perfils i atorgar puntuacions amb finalitats d'avaluació de riscos (p. ex. per determinar la qualificació creditícia, establir primes d'assegurances, prevenir el frau, detectar blanqueig de diners); fer un seguiment de la ubicació, per exemple mitjançant aplicacions mòbils; programes de fidelització; publicitat comportamental; seguiment de les dades de benestar, estat físic i salut mitjançant dispositius portables; televisió de circuit tancat; dispositius connectats, com ara comptadors intel·ligents, cotxes intel·ligents, domòtica, etc.

Tractament a gran escala

Factors a tenir en compte a l'hora de determinar si el tractament es realitza a gran escala:

  • el nombre d'interessats afectats, ja sigui com a xifra concreta o com a proporció de la població corresponent;
  • el volum de dades o la varietat d'elements de dades diferents que es processen;
  • la durada o permanència de l'activitat de tractament de dades;
  • l'abast geogràfic de l'activitat de tractament.

Directrius sobre els delegats de protecció de dades (DPD)

 

Puc nomenar voluntàriament un Delegat de Protecció de Dades?

Sí, qualsevol organització pot nomenar un delegat de protecció de dades perquè l'assessori, encara que no hi estigui obligada.  Ara bé, si decideix fer-ho, ha de completar els mateixos passos que qui està obligat a nomenar un DPD, com ara triar amb cura un DPD adequat i notificar el nomenament a les autoritats de protecció de dades. 

Tot Delegat de Protecció de Dades serà designat atenent a les seves qualitats professionals i, en particular, als seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades i a la seva capacitat per exercir les seves funcions.

 

Quines són les funcions d'un Delegat de Protecció de Dades? 

d'acord amb el que disposa l'article 39 del RGPD, el Delegat de Protecció de Dades tindrà com a mínim les funcions següents:

  • informar i assessorar el responsable del tractament o l'encarregat del tractament i els empleats que s'ocupin del tractament de les obligacions que els incumbeixen en virtut del present Reglament i d'altres disposicions de protecció de dades de la Unió o dels estats membres;
  • supervisar el compliment del que disposa el present Reglament, d'altres disposicions de protecció de dades de la Unió o dels estats membres i de les polítiques del responsable del tractament o de l'encarregat del tractament en matèria de protecció de dades personals, inclosa l'assignació de responsabilitats, la sensibilització i la formació del personal que participa en les operacions de tractament, i les auditories corresponents;
  • oferir l'assessorament que se li sol·liciti sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar-ne l'aplicació;
  • cooperar amb l'autoritat de control;
  • actuar com a punt de contacte de l'autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia necessària quan una avaluació d'impacte indiqui un risc alt, i realitzar consultes, si escau, sobre qualsevol altre assumpte.

 

Puc externalitzar el Delegat de Protecció de Dades?

Sí, el Delegat de Protecció de Dades podrà formar part de la plantilla del Responsable o de l'encarregat del tractament o exercir les seves funcions en el marc d'un contracte de serveis.

Externalitzar el DPD és força habitual perquè s'han de respectar els requisits d'independència en l'exercici de les funcions del DPD i l'absència de conflicte d'interessos.

Un grup empresarial podrà nomenar un únic DPD sempre que sigui fàcilment accessible des de cada establiment.

 

Notificació a l'Agència Espanyola de Protecció de Dades

Si l'empresa nomena un DPD, haurà de comunicar-ho en el termini de deu dies a l'Agència Espanyola de Protecció de Dades o, si escau, a les autoritats autonòmiques de protecció de dades. 

 

A Conesa Legal podem ajudar-te si necessites una persona formada en Protecció de Dades:

Coneix els nostres serveis de protecció de dades

Abigail Sked

 

Data de publicació: 14 de juliol, 2026

Última actualització: 14 de juliol, 2026