16 de Octubre de 2019 | 01:33
LEGAL TODAY. POR Y PARA ABOGADOS
 

Herramientas para el texto

Público

4 de Enero de 2019

¿Quién tiene que nombrar un delegado de protección de datos?

El Reglamento General de Protección de Datos (RGPD) introdujo en España la nueva figura del Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés). En resumen, este DPD realiza una triple función de asesor, auditor y mediador (asesora a la empresa, supervisa su cumplimiento y atiende las reclamaciones de los usuarios o de la AEPD).

Iñigo González Nagore,
Abogado


El Reglamento General de Protección de Datos (RGPD).

El RGPD no aclara con detalle qué entidades están obligadas a designar un DPD, sino que sólo da unas directrices generales (artículo 37). Según el reglamento europeo sólo necesitarían nombrar un DPD las Administraciones Públicas y un reducido número de empresas: por un lado, las que se dedican a la observación sistemática de personas por medios físicos (videovigilancia) o informáticos (plataformas digitales o empresas de marketing que vigilan cada click que hacemos en páginas web o redes sociales); y por otro lado, los grandes hospitales y otras entidades que tratan datos sensibles "a gran escala".

La nueva Ley Orgánica de Protección de Datos (LOPD).

Ese concepto jurídico indeterminado de "gran escala" dejó una gran inseguridad jurídica, que la nueva LOPD ha intentado solucionar detallando ahora un amplio listado de todos los obligados a designar un DPD (artículo 34). Además, la LOPD incluye varias remisiones a diferentes leyes sectoriales que amplían notablemente el número de obligados.

Por el momento se aprecia una preocupante falta de información en esta materia, porque se está debatiendo mucho sobre la utilización de datos personales por los partidos políticos, por ejemplo, pero hay multitud de empresas y profesionales afectados que no saben que tienen esta nueva obligación, que ya está vigente. A diferencia del reglamento europeo, la LOPD afecta directamente a muchas PYMES y autónomos, porque la nueva ley regula esta obligación de nombrar DPD en función del tipo de actividad que se realice, sin importar el tamaño, el número de empleados o el volumen de facturación de cada empresa.

Listado completo de obligados a nombrar un DPD:

(además de todos los que ya estaban obligados por el RGPD)

  • Colegios profesionales.
  • Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
  • Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios).
  • Entidades bancarias y compañías de seguros.
  • Compañías de energía, electricidad y gas.
  • Responsables de ficheros de morosos.
  • Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010), que a su vez afecta a multitud de sectores diversos:
    • Entidades de crédito, compañías de seguros y empresas de servicios de inversión.
    • Instituciones de inversión colectiva, sociedades de inversión, fondos de pensiones, sociedades de capital-riesgo, sociedades de garantía recíproca.
    • Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
    • Promotores inmobiliarios, APIs y agencias inmobiliarias.
    • Auditores de cuentas, contables externos y asesores fiscales.
    • Notarios y registradores.
    • Abogados, procuradores u otros profesionales (cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines a una sociedad).
    • Casinos de juego.
    • Joyeros.
    • Galerías de arte y anticuarios.
    • Depósito, custodia o transporte de fondos o medios de pago.
    • Loterías y otros juegos de azar.
    • Fundaciones y asociaciones.
    • Gestores de sistemas de pago y tarjetas de crédito.
  • Agencias de publicidad (cuando elaboren perfiles de los usuarios).
  • Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
  • Entidades que realicen informes comerciales de personas físicas.
  • Operadores de juego online.
  • Empresas de seguridad privada.
  • Federaciones deportivas (cuando traten datos de menores de edad).
 

Iñigo González Nagore,
Número de artículos del autor 2
Posicionamiento en el ranking de contenidos 1836

  • Comparte esta noticia en linkedin

Publica tus contenidos

Comparte opiniones, artículos y sentencias de actualidad con el resto de los profesionales del sector.

publicar | ¿Estás registrado?| Registrate

 
 

Hemos actualizado nuestra Política de Privacidad. Antes de continuar por favor lea nuestra nueva Declaración de Privacidad. Además utilizamos cookies propias y de terceros para mejorar nuestros servicios y poder ofrecerle las mejores opciones mediante el análisis de la navegación. Si continúa navegando, consideramos que acepta su uso. Para más información pulse aquí.   Aceptar