Info-blog

Cómo funciona el Delegado de Protección de datos en España

Escrito por Abigail Sked | 26-jun-2024 15:25:34

En determinadas situaciones es necesario que una empresa contrate a un Delegado de Protección de Datos (DPD) para que le apoye en el cumplimiento de sus responsabilidades en materia de protección de datos.  Tanto los Responsables del tratamiento como los Encargados del tratamiento pueden verse obligados a contratar a un DPD, pero es importante tener en cuenta que su función es de apoyo y asesoramiento, no de cumplir por ellos las obligaciones del Responsable del tratamiento o del Encargado del tratamiento.  De acuerdo con el principio de responsabilidad activa del RGPD, tanto los Responsables como los Encargados del Tratamiento que contraten a un DPD deben seguir desempeñando un papel activo en los procedimientos de protección de datos de la empresa y asumir la responsabilidad de los mismos.  En este artículo vamos a explicar quién debe contratar a un DPD y qué supone ese cargo.

Redactado por Abigail Sked

 Paralegal 

Saber más

¿No estás seguro de si eres Responsable del tratamiento o Encargado del tratamiento?  Consulta este artículo nuestro para conocer los aspectos fundamentales del RGPD. 

¿Qué empresas deben contratar a un delegado de protección de datos? 

Todo dependerá del tipo de datos que procese tu empresa, cómo se procesen dichos datos y a qué escala. 

 

¿Es tu organización una autoridad pública o trata categorías especiales de datos a gran escala o observa de forma habitual y sistemática a los interesados? 

El RGPD (artículo 37) establece que los Responsables y Encargados del Tratamiento deben designar a un Delegado de Protección de Datos en los siguientes casos: 

  • el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos relativos a condenas e infracciones penales.

Salvo en lo que se refiere a las autoridades públicas, esto quizá nos deje más confusos que antes debido a palabras imprecisas como "gran escala" y "actividades principales".  Por suerte, tanto la legislación española como las directrices de la Unión Europea ofrecen algunas aclaraciones. 

 

Ejemplos de organizaciones que necesitan un DPD

La LOPDGDD (artículo 34) ha señalado ciertas situaciones concretas en las que será necesario designar a un DPD: 

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
    • Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

 

La siguiente comparación facilitada por la Comisión Europea pone de relieve la importancia de considerar si tu empresa trata datos a gran escala o de forma posiblemente invasiva

El DPD es obligatorio, por ejemplo, en los casos siguientes:

  • diriges un hospital que trata grandes cantidades de datos sensibles,
  • eres una empresa de seguridad responsable del control de centros comerciales y espacios públicos,
  • diriges una pequeña empresa de búsqueda de talentos que elabora perfiles de personas.

El DPD no será obligatorio en los casos siguientes:

  • eres un médico de familia que realiza el tratamiento de los datos personales de tus pacientes,
  • tienes una pequeña empresa que realiza el tratamiento de los datos personales de sus clientes.

 

¿Qué significan los criterios "elaboración de perfiles", "actividad principal", "observación sistemática", "tratamiento a gran escala"?

Elaboración de perfiles

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.  (artículo 4 RGPD)

Actividades principales 

Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. Dichas actividades incluyen también todas aquellas en las que el tratamiento de datos sea una parte indisociable de la actividad del responsable o el encargado del tratamiento. Por ejemplo, el tratamiento de datos relativos a la salud, como historiales de pacientes, debe considerarse una de las actividades principales de cualquier hospital y, por ello, los hospitales deben designar un DPD. 

Las actividades que todas las empresas llevan a cabo, como pagar a los empleados o realizar actividades ordinarios de apoyo de TI, aunque necesarias, no suelen constituir la actividad principal de la empresa. 

Observación habitual y sistemática

Incluye todas las formas de observación y elaboración de perfiles en internet, inclusive con fines de publicidad comportamental, pero no se limita al entorno de internet.

Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados  son: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar  correos electrónicos; actividades de mercadotecnia basadas en datos; elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelidad; publicidad comportamental; seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles; televisión de circuito cerrado; dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.

Tratamiento a gran escala

Factores a tener en cuenta a la hora de determinar si el tratamiento se realiza a gran escala:

  • el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • el volumen de datos o la variedad de elementos de datos distintos que se procesan;
  • la duración o permanencia de la actividad de tratamiento de datos;
  • el alcance geográfico de la actividad de tratamiento.

Directrices sobre los delegados de protección de datos (DPD)

 

¿Puedo nombrar voluntariamente un Delegado de Protección de Datos?

Sí, cualquier organización puede nombrar un delegado de protección de datos para que le asesore, aunque no esté obligada a hacerlo.  Sin embargo, si decide hacerlo, debe completar los mismos pasos que quienes están obligados a nombrar un DPD, como elegir cuidadosamente a un DPD adecuado y notificar el nombramiento a las autoridades de protección de datos. 

Todo Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

 

¿Cuáles son las funciones de un Delegado de Protección de Datos? 

Según lo establecido en el artículo 39 del RGPD, el Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
  • cooperar con la autoridad de control;
  • actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa necesaria cuando una evaluación de impacto indique un alto riesgo, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

¿Puedo externalizar el Delegado de Protección de Datos?

Sí, el Delegado de Protección de Datos podrá formar parte de la plantilla del Responsable o del Encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

Externalizar el DPD es bastante común porque se tiene que respetar los requisitos de independencia en el ejercicio de las funciones del DPD y ausencia de conflicto de intereses.

Un grupo empresarial podrá nombrar un único DPD siempre que sea fácilmente accesible desde cada establecimiento.

 

Notificación a la Agencia Española de Protección de Datos

Si la empresa nombra un DPD tendrá que que comunicárselo en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos. 

 

En Conesa Legal podemos ayudarte si necesitas a una persona formada en Protección de Datos:

Conoce nuestros servicios de protección de datos

 
Ver post completo