¿Sabes si tu organización necesita un DPD?

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 25.000 euros a la empresa GLOVO y con un apercibimiento al Ayuntamiento de Huercal de Almería, por no nombrar un Delegado de Protección de Datos.

En el caso de GLOVO, al realizar un tratamiento de datos personales a gran escala, la falta de designación de DPD constituye la vulneración del Reglamento General de protección de Datos (RGPD, artículo 37.1b) y de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD, artículo 34).

GLOVO, alegó que contaba con un Comité de Protección de Datos que suplía al DPD realizando las mismas funciones, pero la Agencia considero que no era suficiente al no hacer mención de ello en su política de privacidad publica, ni estar registrado un DPD en el Registro de Delegados de Protección Datos de la Agencia.

El Ayuntamiento ha sido apercibido por la infracción del artículo 37 del RGPD, (artículo 83.4.a) por no cumplir con la obligación de nombrar un Delegado de Protección de Datos.

¿Cuándo es obligatorio nombrar a un DPD?

Según el RGPD y la LOPDGDD una organización está obligada a disponer de un DPD cuando:

• el tratamiento lo lleve a cabo una autoridad pública, por ejemplo: ayuntamientos, empresas públicas, comunidades autónomas, ministerios, etc…  excepto los tribunales que actúen en ejercicio de su función judicial.
• las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala, por ejemplo: empresas de marketing digital, bigdata, grandes superficies comerciales, estadios etc…
• las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos, es decir: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física, datos relativos a la salud a la vida sexual o la orientación sexual de una persona física, condenas e infracciones penales o medidas de seguridad conexas. Por ejemplo, sociedades sanitarias, clínicas, agrupaciones religiosas, sindicales, políticas…

También se incluye el tratamiento de datos de localización o de menores.

La LOPDGDD en España define las organizaciones obligadas a nombrar un DPD:

• Colegios profesionales.
• Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
• Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios).
• Entidades bancarias y compañías de seguros.
• Compañías de energía, electricidad y gas.
• Responsables de ficheros de morosos.
• Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010).
• Agencias de publicidad (cuando elaboren perfiles de los usuarios).
• Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
• Entidades que realicen informes comerciales de personas físicas.
• Operadores de juego online.
• Empresas de seguridad privada.
• Federaciones deportivas (cuando traten datos de menores de edad).

Remarcar que en aquellas organizaciones en las que no sea obligatorio el nombramiento de un DPD, cualquier entidad puede nombrar uno de forma voluntaria cumpliendo así también con el principio de proactividad establecido por el RGPD.

¿Cuál es la función del DPD?

Sus funciones están expresamente reguladas en el artículo 39 del RGPD y se resumen en:

• informar, supervisar, divulgar y coordinar la política de protección de datos en la empresa o administración en la que preste sus servicios.
• velar por el cumplimiento de la normativa española y europea sobre el tratamiento de datos personales
• asesorar sobre los riesgos que puede comportar un determinado tratamiento, lo que se denomina Evaluación de Impacto en la Protección de Datos Personales (EIPD).
• cooperar con las autoridades de control en el caso de que se detecten irregularidades en el tratamiento de los datos.
• Atender las consultas de los interesados y para el ejercicio de sus derechos.

Criterios de designación del DPD

El artículo 37.5 del RGPD dispone que el delegado de protección de datos será designado atendiendo a:

• Sus conocimientos especializados del Derecho
• La experiencia práctica en materia de protección de datos
• Su capacidad para desempeñar las funciones

Puede desempeñar esta función un empleado de la organización, o bien se puede contratar el servicio a alguna entidad externa.

¿Debe comunicarse el nombramiento de delegados de protección de datos a la AEPD?

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

Podrá consultar toda la información sobre cómo llevar a cabo la comunicación del DPD ante la Agencia en el siguiente enlace:

https://sedeagpd.gob.es/sede-electronica-web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf

En resumen, si tu organización realiza alguna de las actividades mencionadas en este artículo debes nombrar un DPD que asesore a la organización, supervise el cumplimiento de la norma, coopere con la autoridad de control, conciencie a tus trabajadores y atienda a los interesados.

PON EN ORDEN TUS PROCESOS CON AEPD, SÉ TRANSPARENTE, DEMUESTRA QUE CUMPLES Y OLVIDA LAS SANCIONES.