Ante las últimas sanciones de la Agencia Española de Protección de Datos (AEPD) por no contar con un Delegado de Protección de Datos (DPD/DPO) a entidades tanto privadas como públicas, creemos conveniente realizar un breve repaso de la figura.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD. Un DPO es una persona, física o jurídica, interna o externa a la empresa, debe contar con conocimientos especializados en Derecho, y en concreto de protección de datos (no se le exige estar certificado), debe actuar de forma independiente, y al que se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte de la empresa (responsable o encargado).
En cuanto a su obligatoriedad podemos decir que la normativa europea exige, en el artículo 37.1 del RGPD, que se designe un Delegado de Protección de Datos en tres supuestos específicos:
- Se trate de una autoridad u organismo público;
- Las actividades consisten en operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala.
- Las actividades principales consistan en tratamiento a gran escala de categorías especiales de datos y de datos de condenas penales.
A su vez, la LOPD-GDD establece una lista de casos en los que es obligatorio nombrar un DPO.
- Colegios profesionales y sus consejos generales,
- Centros docentes,
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas,
- Prestadores de servicios de la sociedad de la información,
- Entidades de crédito,
- Establecimientos financieros,
- Entidades aseguradoras y reaseguradoras,
- Empresas de servicios de inversión,
- Distribuidores y comercializadores de energía eléctrica y de gas natural,
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito de ficheros comunes para la gestión y prevención del fraude (Blanqueo de capitales),
- Entidades que desarrollen actividades de publicidad y prospección comercial,
- Centros sanitarios,
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas,
- Operadores que desarrollen la actividad del juego, y
- Empresas de seguridad privada.
Pero debemos advertir que esta lista no excluye otros posibles casos que se encuentren dentro de las características del artículo 37 del RGPD.
En cualquier caso, todas las entidades podrán designar un Delegado de Protección de Datos de forma voluntaria, tal y como prevé la LOPD-GDD, en su artículo 34 apartado 2.
¿Necesitas contratar un DPO? En Rerum Legis estamos a su disposición.