¿Es obligatorio tener un Delegado de Protección de Datos?

Saber si necesitamos tener un Delegado de Protección de Datos en nuestra empresa es una de las decisiones fundamentales en materia de protección de datos si no queremos tener un susto, que pueda suponer una sanción en nuestra compañía. 

Esta decisión no solo depende de la voluntad de nuestra empresa, sino que la ley también establece supuestos de obligatoriedad.

Por ello, en este artículo trataremos de desentrañar, qué funciones tiene un Delegado de Protección de Datos, cómo seleccionar a tú DPO y sobre todo si tu empresa debe designarlo.

¿Qué es un Delegado de Protección de Datos?

Un Delegado de Protección de Datos o Data Protection Officer es un profesional que se encarga de garantizar que una organización cumple con la normativa de protección de datos personales, siendo esta persona o equipo de personas independiente o imparcial. 

Esto implica que la persona que ejerza estas funciones no podrá tener otros puestos en los que su capacidad decisoria pueda entrar en competencia con la imparcialidad e independencia de su puesto de Delegado de Protección de Datos.

Ser Delegado de Protección de Datos implica, además, que la persona o equipo encargado de esta función tenga un conocimiento avanzado sobre la normativa. Ha de tener un conocimiento profundo sobre medidas técnicas y organizativas que pueden tener que llevarse a cabo dentro de la propia compañía para asegurar el correcto cumplimiento del Reglamento General de Protección de Datos y de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Estas medidas serán las que deberán garantizar que la confidencialidad, integridad y disponibilidad de la información personal que utilizamos está debidamente protegida.

Un buen Delegado de Protección de Datos habrá de tener grandes habilidades comunicativas ya que es el responsable de coordinar a todos los departamentos de la empresa y deberá conocer el ámbito práctico del funcionamiento de la compañía, por lo que ha de implicarse y estar al tanto de todos los tratamientos que se desarrollan para poder evaluarlos y analizar el riesgo de los mismos desde el momento inicial en el que se estén planteando.

Como vemos, se convertirá en una figura clave dentro de la compañía.

¿Para qué empresas es obligatorio tener un Delegado de Protección de Datos?

El artículo 37 del Reglamento General de Protección de Datos indica que se ha de contar con un Delegado de Protección de Datos siempre que:

1. se traten de autoridades y organismos públicos;
2. que la actividad principal de la compañía requiera una observación habitual y sistemática de interesados a gran escala, como por ejemplo en el caso de un centro comercial o parque de atracciones que cuente con cámaras de videovigilancia o que; 
3. la actividad de la compañía suponga que se traten datos de categoría especiales (datos de salud, biométricos, genéticos, etc) a gran escala.

Estos supuestos no son los únicos, ya que la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales contempla nuevos supuestos de obligatoriedad, como son los que se enumeran a continuación:

1. Los colegios profesionales y sus consejos generales. 
2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. 
3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala. 
4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. 
5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, 
6. Los establecimientos financieros de crédito. 
7. Las entidades aseguradoras y reaseguradoras. 
8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. 
9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. 
10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. 
11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. 
12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas. 
14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego. 
15. Las empresas de seguridad privada. 
16. Las federaciones deportivas cuando traten datos de menores de edad.

Como vemos, no son pocos los supuestos de empresas que requieren de manera obligatoria de la designación de un Delegado de Protección de Datos.

¿Qué obligaciones tengo si soy una empresa obligada por la norma a tener DPO?

Lo primero que tendrás que hacer será encontrar un delegado de Protección de Datos que de verdad conozca la normativa. Recalcamos la necesidad de que de verdad conozca la normativa, ya que en muchos casos, los profesionales seleccionados para esta labor no están debidamente formados o no tienen la experiencia práctica necesaria. Para ello, podrás fijarte en si cuenta con certificado de DPO, si ha desarrollado esta función previamente y en qué tipo de compañías y en si tiene conocimientos técnicos. 

Como ya te imaginarás si te ofrecen este servicio a 500 euros al año o menos, es imposible que cubran todos los requerimientos que hacen falta para desempeñar esta función.

Una vez seleccionado, deberá ser designado ante la AEPD. Este es otro de los errores habituales, ya que muchas de las empresas que dicen tener un Delegado de Protección de Datos no están designados ante la AEPD.

Cuando todo este hecho será el momento de que este empiece a trabajar para asegurar no solo el cumplimiento de la normativa, sino que todo quede perfectamente documentado para poder demostrar este cumplimiento ante la AEPD.

¿Qué ocurre si no cumplo con la obligación?

No cumplir con la obligación de designar un Delegado de Protección de Datos puede implicar una sanción importante ante la AEPD. Además de ello, inclusive si lo hemos designado y nos encontramos en un supuesto de incompatibilidad, también podremos ser sancionados, como ya ha ocurrido en diferentes ocasiones, por lo que hemos de tener cuidado.

¿El Delegado de Protección de Datos puede ser externo?

Tener un Delegado de Protección de Datos externo tiene numerosas ventajas, ya que la responsabilidad estará más limitada, te asegurarás que es independiente y no tiene incompatibilidades y, además, cumplirá sus funciones debidamente al no tener favoritismos internamente. También puede suponer un gran ahorro de costes ya que contar con un Delegado de Protección de Datos interno, supone tener que pagar a un profesional en alta demanda.

La normativa señala que el Delegado de Protección de Datos puede ser tanto interno como externo, por lo que, la compañía podrá decidir en función de sus circunstancias cual es la mejor solución.

El Delegado de Protección de Datos es una figura imprescindible que puede ahorrarte cientos de miles de euros. 

Nosotros, desde Zenigma Consulting contamos con la experiencia práctica de más de 10 años dedicándonos a estas funciones, en empresas de mediano y gran tamaño y además aportando una visión alineada con el negocio fundamental para que todo vaya fluidamente.

Si necesitas un DPO o tienes cualquier duda al respecto, no dudes en escribirnos o llamarnos y estaremos encantados de ayudarte.