Carpeta de justicia

LawAndTrends



el Autor analiza la figura del delegado de Protección de Datos, la necesisdad de su nombramento o contratación y la valoración sobre si debe formar parte de la organización o puede ser un asesor externo.

1. Marco normativo

En lo relativo a la protección de datos de carácter personal, se han incorporado recientemente a nuestro ordenamiento jurídico dos normas que, junto al resto de normativa subsidiaria en el ámbito sectorial, vienen a regular en nuestro país y en el resto de la Unión Europea, todo lo relativo a la privacidad y la seguridad de la información de carácter personal.

Nos referimos a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que ha sustituido a la anterior Ley de 1.999 y su reglamento, por sus siglas en lo sucesivo LOPD.

El último hito en esta regulación tuvo lugar con la adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, que entró en vigor, tras la vacatio legis el 25 de mayo del pasado año, en adelante (RGPD por sus siglas en español).

2. La Figura del Delegado de Protección de Datos

No voy a profundizar sobre la figura del Delegado de Protección de Datos (DPD en adelante), dado que se ha escrito profusamente sobre ella, desde que nació con el RGPD en su artículo 37, y en el art. 34 de la LOPD. Se puede consultar uno de mis artículos de #EspacioTIC para abundar sobre este nuevo profesional.

Lo que si quiero destacar del DPD/ DPO es que su nombramiento está integrado en la nueva “cultura proactiva de la protección de datos”.  La propia Agencia Española de Protección de Datos (AEPD) prevé que, entre las medidas de responsabilidad activa, se incluya la designación obligatoria de un (DPD) en los casos tasados del art. 37. 1 del RGPD y que son los siguientes:

  • Podrán designar al DPD, el responsable y el encargado del tratamiento siempre que el tratamiento lo lleve una autoridad u organismo público, excepto los tribunales en el ejercicio de su labor jurisdiccional.
  • Siempre que el tratamiento del responsable y el encargado conlleve de forma habitual y sistemática el manejo de datos a gran escala.
  • También cuando suponga el tratamiento a gran escala de categorías de datos especiales del art. 9. 1 del RGPD: 1. “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”, y datos relativos a condenas e infracciones penales. 

Los grupos empresariales podrán nombrar un solo DPD siempre que sea accesible desde cada establecimiento.

Un organismo público u autoridad podrá nombrar un solo DPD para un grupo de organismos públicas o autoridades en función de su organización y tamaño.

Las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un DPD.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

3. Obligación de Nombrar o Contratar un DPD

En virtud de los dispuesto en el art. 34. 1 de la LOPD estarán obligados de designar un Delegado de Protección de Datos las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

El punto 2 del mismo artículo prevé la voluntariedad en la decisión de la designación de un DPD para los responsables o encargados del tratamiento no incluidos en el párrafo anterior, quedando aquellos que lo designen sometidos al régimen previsto en el RGPD.

4. ¿DPDP Interno o Externo?

La designación o contratación de un DPD puede ser bien una designación interna y considerarlo de la plantilla del organismo o empresa o contratar los servicios de un profesional externo que realice las funciones y cometidos inherentes a su especialización.

Les adjunto esta infografía realizado por el DPD Xisco Martínez de IIPSI (Instituto Internacional de Privacidad y Seguridad), en calidad de director de comunicación. Instituto que tengo el honor y el orgullo de presidir.

.

¿Te ha gustado este artículo?

SUSCRÍBETE A NUESTRA NUEVA NEWSLETTER

Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.

 



No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad