Aunque sea una locución muy manida, sigue siendo una frase completamente cierta: es muy posible que tu organización necesite un Delegado de Protección de Datos (DPD o DPO, que es la sigla que prefiero: Data Protection Officer)… y tú lo sabes.

Así que vamos a ver quién está obligado a tener un DPO, analizando el Reglamento General de Protección de Datos 2016/679 (RGPD o GDPR); y a la Ley Orgánica 3/2018, rebautizada como la nueva LOPD.

DPO Delegado de Protección de Datos

Courtesy of the IAPP

Quién necesita un Delegado de Protección de Datos – DPO

El art. 37, GDPR impone a las siguientes entidades la presencia de un DPO:

  • autoridad u organismo público; o
  • las entidades que realizan operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
  • las entidades que realizan tratamiento a gran escala de categorías especiales de datos personales.

El caso de las autoridades u organismos públicos (con expresa exclusión de los tribunales en el ejercicio de sus funciones judiciales) es el más claro. De hecho, hay tan poco margen para la interpretación que la Agencia Española de Protección de Datos (AEPD) ya ha sancionado al Ayuntamiento de Mejorada del Campo por carecer de un DPO (la sanción puede ser consultada aquí: https://www.amedeomaturo.com/wp-content/uploads/2020/12/ps-00326-2020.pdf).

Más problemática parece la identificación de las entidades que realizan una observación habitual a gran escala de los interesados, es decir, de las personas cuyos datos personales se tratan. Exactamente, ¿qué se entiende por «gran escala«?

Por ejemplo, ¿100 followers de un perfil de una red social me permiten realizar un tratamiento a gran escala? ¿o 1.000? ¿o 10.000? El European Data Protection Board (heredero del WP-29) ha establecido las siguientes líneas guía, para aportar un poco de luz al concepto de

«gran escala»:

    1. primero, el número de personas interesadas, en términos absolutos o en relación proporcional con una población específica;
    2. a continuación, el volumen de los datos manejados;
    3. también se evalúa la duración del tiempo durante el cual se tratan los datos;
    4. para terminar, es necesario analizar la extensión geográfica sobre la que se realiza el tratamiento de datos personales.

¿Sigues con dudas? Contacta con nosotros y vemos cómo podemos ayudarte.

El tercer grupo de entidades que deben tener un Delegado de Protección de Datos está representado por las entidades que tratan datos sensibles, es decir, los datos incluidos en el artículos 9 y 10, GDPR. A continuación, se enumeran los

Datos Sensibles

  • origen étnico o racial;
  • opiniones políticas, convicciones religiosas o filosóficas, o de afiliación sindical;
  • tratamiento de datos genéticos;
  • información biométrica utlizada para identificar a una persona física;
  • datos relativos a la salud o vida sexual;
  • datos relativos a infracciones y condenas penales.

 

Y la legislación española, ¿qué dice?

En este sentido, la legislación española es más específica. En el artículo 30, Ley Orgánica 3/2018 (nueva LOPD) se enumeran los siguientes

Casos en los que es obligatorio el Delegado de Protección de Datos

  • Colegios profesionales y sus consejos generales;
  • Centros docentes;
  • Etidades que exploten redes y presten servicios de comunicaciones electrónicas;
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio;
  • Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito;
  • Establecimientos financieros de crédito;
  • Entidades aseguradoras y reaseguradoras;
  • Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores;
  • Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural;
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude;
  • Entidades que desarrollen actividades de publicidad y prospección comercial;
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes;
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Empresas de seguridad privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

¿Todavía te quedan dudas? Mándanos un email y hablamos.