todanelo
  • Cat
    • Esp
    • Eng
    • Fr
  • La Firma
  • Pràctica professional
  • Equip
  • International Desk
  • Actualitat
    • Actualitat jurídica
    • Notícies i articles
  • Contacte
  • Cat
    • Esp
    • Eng
    • Fr
Inicio / Actualitat / Notícies i articles / ¿Necesita mi empresa un delegado de protección de datos?
Àrees de pràctica:
Compliance
19.06.2018

¿Necesita mi empresa un delegado de protección de datos?

El pasado 25 de mayo entró en vigor el Reglamento europeo de Protección de Datos. En un mundo perfecto, esto hubiera supuesto que todos estuviéramos preparados y con los textos, …

El pasado 25 de mayo entró en vigor el Reglamento europeo de Protección de Datos. En un mundo perfecto, esto hubiera supuesto que todos estuviéramos preparados y con los textos, formularios, registro de actividades, etc., perfectamente al día, pero la situación real dista mucho  de ese mundo ideal…

Uno de los puntos del Reglamento en los que quizá haya que seguir trabajando es el de la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), ya que su obligatoriedad viene definida por algunos criterios de aplicación no automática, como veremos a continuación.

Lo primero que hay que plantearse es que no es obligatorio en todos los casos, sino solo en aquellos en los que se cumplan los requisitos establecidos en el Reglamento, es decir:

  1. cuando el tratamiento lo lleva a cabo una autoridad u organismo público;
  2. cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; o
  3. cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

En este punto debemos preguntarnos cuándo estamos ante un supuesto de tratamiento a gran escala, concepto jurídico indeterminado al que se refiere el propio Reglamento en su Considerando 91, ofreciendo algunos elementos para su acotamiento. Estaremos ante un tratamiento a gran escala cuando (i) tratemos una cantidad considerable de datos a nivel regional, nacional o supranacional, (ii) que pueden afectar a un gran número de interesados y (iii) entrañen un alto riesgo para los derechos y libertades por tratarse de datos sensibles.

En definitiva, se trata de un análisis que contemple el volumen de datos tratados, el número de afectados (como número específico o como porcentaje de un grupo de población), la permanencia del tratamiento y el ámbito geográfico. Por ejemplo, el tratamiento de 20.000 personas en un ámbito nacional (sobre un total de 45.000.000 de personas) no puede calificarse como tratamiento a gran escala; sin embargo, un tratamiento de 2.000 colegiados de un colegio regional sobre un total de 2.500 colegiados, sí puede entenderse un tratamiento a gran escala. Mientras no contemos con un criterio de interpretación más adecuado debemos tener en cuenta estos puntos para que la toma de decisiones esté debidamente fundamentada.

Por otra parte, debemos llevar a consideración las actividades que el Proyecto de Ley considera que deben contar con la figura de un Delegado de Protección de Datos:

  • Colegios profesionales
  • Centros docentes
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la Sociedad de la información
  • Entidades de crédito
  • Establecimientos financieros de crédito
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y gas natural
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
  • Entidades que desarrollen actividades de publicidad y prospección comercial
  • Centros sanitarios
  • Centros que desarrollen la actividad de juego
  • Quienes desarrollen actividades de Seguridad Privada

Los responsables y encargados del tratamiento no incluidos en el listado anterior pueden nombrar de forma voluntaria un Delegado de Protección de Datos.

Una vez que sabemos quién necesita un DPO debemos pensar en quién desarrollará esta función en nuestra organización, pudiendo nombrar a una persona interna o externa a la organización, pero siempre con los conocimientos adecuados para ejercer la función. El Reglamento establece que la designación del Delegado de Protección de datos debe hacerse atendiendo a:

  1. Cualidades profesionales
  2. Conocimientos especializados del Derecho.
  3. Practica en materia de Protección de Datos.
  4. Capacidad para desempeñar las tareas establecidas tanto en la normativa europea como en la legislación española

En cualquier caso, debemos tener en cuenta la posición que el DPO ostentará dentro del organigrama de la organización, de forma que pueda mantener el grado de independencia que establece el Reglamento. De acuerdo con este grado de independencia entendemos que el DPO debe depender orgánica y funcionalmente del Órgano de Administración y no de la estructura jerárquica del negocio.

Por último, señalar que debe comunicarse a la Agencia Española de Protección de Datos o a la autoridad autonómica correspondiente, la designación, nombramiento o cese de la persona que desempeñará el cargo en nuestra organización, tanto si su nombramiento es obligatorio como voluntario.

Següent Anterior
Segueix-nos a

Avda. Diagonal 520, 5º 08006 Barcelona | T. +34 93 363 40 00
C/ Lagasca 88, 5º 28001 Madrid | T. +34 91 700 21 00

  • Avis legal
  • Política de cookies
  • Política de Privacitat i Comunicacions
  • Sistema intern d’informació