FOMENTO de LA CULTURA


EMPRENDEDORA Y EL AUTOEMPLEO

¿Necesita mi empresa un Delegado de Protección de Datos?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, más conocido como RGPD, ha supuesto un cambio radical en materia de cumplimiento normativo en materia de protección de datos.

Uno de las novedades sustanciales en esta regulación, no es otra que la figura del denominado “Delegado de Protección de Datos” (DPD), figura que ya estaba presente en el normativa comunitaria anterior (la Directiva 95/46), pero que en España además de no transponerse como una figura obligatoria, se confundió con la figura del Responsable de Seguridad tal y como se recogía en la norma española que adaptaba al ordenamiento español la citada Directiva a través de la más que conocida, Ley Orgánica de Protección de Datos 15/99.

Evidentemente, si la normativa exigía a una empresa el nombramiento de un responsable de seguridad, lo más previsible es que esa empresa nombrase a un trabajador con un perfil técnico/informático para coordinar el cumplimiento de la protección de datos.

El RGPD cambia sustancialmente esa prerrogativa, y obliga a determinadas entidades a nombrar a un DPD, fomentando para ello la búsqueda de perfiles preferentemente jurídicos y con conocimiento en la práctica de protección de datos, que indiscutiblemente tendrán que coordinar sus acciones de supervisión con profesionales de un perfil mucho más técnico, consultor y/o auditor.

Y es que la norma europea establece en su art. 37 el hecho de que tenga que nombrarse obligatoriamente un DPD cuando el tratamiento de los datos sea llevado a cabo por una autoridad u organismo público (a excepción de los tribunales que actúen en ejercicio de su función judicial), o cuando se establezcan operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o cuando las actividades del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos —aquellos que la LOPD denominaba «especialmente protegidos»—.

Sin embargo, esta conceptualización se ha visto reforzada a raíz de la publicación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) señalando en su art. 34, cuáles son las entidades que obligatoriamente han de designar un DPD como puedan ser los Centros Docentes, las entidades que desarrollen actividades de publicidad y prospección comercial cuando basen sus tratamientos en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos o los centros sanitarios obligados a la conservación de las historias clínicas (excepto profesionales de la salud que ejerzan a título individual) o los prestadores de servicios de la sociedad de la información que realicen a gran escala perfiles de los usuarios del servicio.

En cualquier caso, e independientemente de las entidades obligadas, es necesario y sobre todo recomendable, evaluar jurídicamente si su empresa está obligada a designar un DPD o no, e incluso si no lo estuviera, fuese recomendable disponer de un DPD designado voluntariamente para favorecer el cumplimiento efectivo y no simplemente formal.

De esta manera, recordamos que desde la entrada en vigor del RGPD, se puede consultar y descargar la Guía Práctica de Protección de Datos para PYMES de CEA+empresas para conocer un poco más sobre la figura del DPD, y su idoneidad para evitar un mal cumplimiento en las obligaciones de las empresas con respecto a la normativa de protección de datos.

Jesús Fernández Acevedo 

Abogado TIC y DPD

26 de febrero de 2019

Check Also

Los 10 KPIs de marketing que toda startup debe conocer

En 2018 existían 3.200 startups en España, según el informe Startup Ecosystem Overview presentado en …

2 comments

  1. jserrano@movilizatic.net

    Unas consideraciones más importantes para la empresas que no estén obligadas, el disponer de un Delegado protección de datos les va ayudar ante cualquier reclamación ante la autoridad de control , pues la empresas disponen de 30 días para resolverlo y no siendo sancionadas, siempre y cuando corrijan los errores en tiempo y forma. http://www.movilizatic.net/el-delegado-de-proteccion-de-datos-dpo/

  2. Jesús Acevedo

    Totalmente de acuerdo con tu comentario y las apreciaciones que contienen. No se trata de encomendar incondicionalmente a cada organización la necesidad de designar un DPD por defecto, pero sí es verdad, que el nombramiento del mismo supone una ventaja competitiva de cara a los clientes, trabajadores e interesados en general, y especialmente ante la Autoridad de Control, al ampliarse los plazos para atender las posibles reclamaciones, evidenciar la proactividad de la empresa al nombrar una persona con conocimientos en la materia que se configure como un interlocutor ágil y eficaz, y sobre todo, un agente mediador en materia de privacidad que ayude a solucionar los posibles conflictos que puedan surgir respecto al cumplimiento de la normativa.

    Muchas gracias por tu comentario.

Deja un comentario