¿Cuándo es obligatorio designar un delegado de protección de datos en una empresa?
La Agencia Española de Protección de Datos (AEPD) ha sancionado con el apercibimiento al Ayuntamiento de Burgos por no disponer de un delegado de protección de datos (o DPO por sus siglas en inglés). El procedimiento fue iniciado tras la denuncia de un ciudadano, que comunicó a la AEPD que el citado ayuntamiento carecía de un delegado de protección de datos, por lo que la directora de la Agencia acordó iniciar este procedimiento sancionador.
La obligación de disponer de un DPO viene impuesta por el art. 37 del Reglamento General de Protección de Datos (RGPD), que indica que “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;”. Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD) determina en su art. 34 la obligación de comunicar “en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.”
Si bien toda autoridad u organismo público debe contar con un delegado de protección de datos, estos no son los únicos sujetos obligados a disponer de esta figura. El art. 34 de la LOPDPGDD detalla los responsables y encargados que, en todo caso, han de proceder a la designación obligatoria de este delegado, entre los que destacan:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Los establecimientos financieros de crédito.
- Las empresas de servicios de inversión reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades que desarrollen actividades de publicidad y prospección comercial basadas en las preferencias de las personas afectadas o realicen actividades que impliquen la elaboración de perfiles de las mismas.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Aunque el Ayuntamiento de Burgos había contratado a una empresa externa para realizar los servicios de adecuación a la normativa, no había designado a un delegado de protección de datos. Externalizar esta figura es una práctica válida y habitual, pues permite a las organizaciones cumplir los requerimientos legales sin alterar su estructura y funcionamiento, a mayores cuando esta figura clave para el cumplimiento debe tener extensos conocimientos en el Derecho y en la práctica en materia de protección de datos.
Incumplir este requerimiento legal conlleva la infracción del art. 37 del RGPD, lo que puede acarrear multas administrativas de hasta 10.000.000 de euros o de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior.
Microlab cuenta con un departamento legal altamente cualificado y con más de 15 años de experiencia en el asesoramiento en materia de protección de datos. Si tu organización está obligada a designar un delegado de protección de datos o decide designarlo de forma voluntaria, puedes contactar con nosotros para recibir información acerca de nuestros servicios.