DELEGADO DE PROTECCIÓN DE DATOS

RGPD - Medidas de Responsabilidad Activa.LA OBLIGACIÓN

El RGPD establece la figura del Delegado de Protección de Datos (DPD) y va a ser obligatorio en:

– Entidades públicas, excepto juzgados y tribunales.
– Cuando el tratamiento tenga por objeto categorías especiales de datos personales o relativos a condenas o infracciones penales.
– Responsable y encargados que tengan como actividad principal las operaciones de tratamiento que requieran una observación periódica y sistemática de usuarios realizada a gran escala.
– Responsables o encargados que tengan como actividad principal el tratamiento de datos sensibles a gran escala.

El anteproyecto de la LOPD contempla en su Capítulo III art.35, consideran incluidas en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 en todo caso, las siguientes entidades:
“a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.”

El DPD debe tener conocimiento de la legislación y la práctica de protección de datos, debiendo asesorar al responsable o al encargado en lo relativo a la normativa de protección de datos. Debe contar con conocimientos legales de la normativa, en materia de tecnología aplicada al tratamiento de datos y en el ámbito de la actividad de la organización en la que el DPD realiza su labor.

El nombramiento del DPD y los datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión.

El cargo del DPD en las organizaciones tienen que contar con:
– Total autonomía e independencia en el ejercicio de sus funciones
– Canal directo de comunicación con el nivel máximo de dirección
– La obligación por parte de responsables y encargados de dotar de recursos al DPD para que pueda realizar su actividad

IMPORTANTE

Se permite nombrar a un solo DPD para un grupo empresarial, y debe estar accesible a todos los establecimientos del grupo, accesibilidad física para el propio personal y que el interesado pueda contactar con el DPD en su propia lengua, aun cuando el DPD esté ubicado en otro estado miembro.

Se permite que el DPD mantenga una relación laboral o mediante contrato de servicios con los responsables y encargados. Es decir que permite contratar el servicio de DPD con personas físicas o jurídicas ajenas a la organización.

Podrá desarrollar sus funciones a tiempo parcial o completo, evitando que existan conflictos de intereses.

L as funciones del DPD vienen establecidas por el Art. 39 del RGPD, que como mínimo serán:

  • Informar y asesorar al responsable y al encargado de las obligaciones que les incumben.
  • Supervisar lo dispuesto en el RGPD.
  • Ofrecer asesoramiento acerca de la evaluación de impacto de protección de datos.
  • Cooperación con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control sobre cuestiones que afecten al tratamiento.