LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 13:43:51

LegalToday

Por y para profesionales del Derecho

¿Quién tiene que nombrar un delegado de protección de datos?

El Reglamento General de Protección de Datos (RGPD) introdujo en España la nueva figura del Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés). En resumen, este DPD realiza una triple función de asesor, auditor y mediador (asesora a la empresa, supervisa su cumplimiento y atiende las reclamaciones de los usuarios o de la AEPD).

Nombramiento

El Reglamento General de Protección de Datos (RGPD).

El RGPD no aclara con detalle qué entidades están obligadas a designar un DPD, sino que sólo da unas directrices generales (artículo 37). Según el reglamento europeo sólo necesitarían nombrar un DPD las Administraciones Públicas y un reducido número de empresas: por un lado, las que se dedican a la observación sistemática de personas por medios físicos (videovigilancia) o informáticos (plataformas digitales o empresas de marketing que vigilan cada click que hacemos en páginas web o redes sociales); y por otro lado, los grandes hospitales y otras entidades que tratan datos sensibles "a gran escala".

La nueva Ley Orgánica de Protección de Datos (LOPD).

Ese concepto jurídico indeterminado de "gran escala" dejó una gran inseguridad jurídica, que la nueva LOPD ha intentado solucionar detallando ahora un amplio listado de todos los obligados a designar un DPD (artículo 34). Además, la LOPD incluye varias remisiones a diferentes leyes sectoriales que amplían notablemente el número de obligados.

Por el momento se aprecia una preocupante falta de información en esta materia, porque se está debatiendo mucho sobre la utilización de datos personales por los partidos políticos, por ejemplo, pero hay multitud de empresas y profesionales afectados que no saben que tienen esta nueva obligación, que ya está vigente. A diferencia del reglamento europeo, la LOPD afecta directamente a muchas PYMES y autónomos, porque la nueva ley regula esta obligación de nombrar DPD en función del tipo de actividad que se realice, sin importar el tamaño, el número de empleados o el volumen de facturación de cada empresa.

Listado completo de obligados a nombrar un DPD:

(además de todos los que ya estaban obligados por el RGPD)

  • Colegios profesionales.
  • Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
  • Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios).
  • Entidades bancarias y compañías de seguros.
  • Compañías de energía, electricidad y gas.
  • Responsables de ficheros de morosos.
  • Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010), que a su vez afecta a multitud de sectores diversos:
    • Entidades de crédito, compañías de seguros y empresas de servicios de inversión.
    • Instituciones de inversión colectiva, sociedades de inversión, fondos de pensiones, sociedades de capital-riesgo, sociedades de garantía recíproca.
    • Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
    • Promotores inmobiliarios, APIs y agencias inmobiliarias.
    • Auditores de cuentas, contables externos y asesores fiscales.
    • Notarios y registradores.
    • Abogados, procuradores u otros profesionales (cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines a una sociedad).
    • Casinos de juego.
    • Joyeros.
    • Galerías de arte y anticuarios.
    • Depósito, custodia o transporte de fondos o medios de pago.
    • Loterías y otros juegos de azar.
    • Fundaciones y asociaciones.
    • Gestores de sistemas de pago y tarjetas de crédito.
  • Agencias de publicidad (cuando elaboren perfiles de los usuarios).
  • Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
  • Entidades que realicen informes comerciales de personas físicas.
  • Operadores de juego online.
  • Empresas de seguridad privada.
  • Federaciones deportivas (cuando traten datos de menores de edad).
 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.