22Jun

¿Cuándo es obligatorio designar un delegado de protección de datos en una empresa?

La Agencia Española de Protección de Datos (AEPD) ha sancionado con el apercibimiento al Ayuntamiento de Burgos por no disponer de un delegado de protección de datos (o DPO por sus siglas en inglés). El procedimiento fue iniciado tras la denuncia de un ciudadano, que comunicó a la AEPD que el citado ayuntamiento carecía de un delegado de protección de datos, por lo que la directora de la Agencia acordó iniciar este procedimiento sancionador.

La obligación de disponer de un DPO viene impuesta por el art. 37 del Reglamento General de Protección de Datos (RGPD), que indica que “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;”. Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD) determina en su art. 34 la obligación de comunicar “en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.”

Si bien toda autoridad u organismo público debe contar con un delegado de protección de datos, estos no son los únicos sujetos obligados a disponer de esta figura. El art. 34 de la LOPDPGDD detalla los responsables y encargados que, en todo caso, han de proceder a la designación obligatoria de este delegado, entre los que destacan:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Los establecimientos financieros de crédito.
  • Las empresas de servicios de inversión reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial basadas en las preferencias de las personas afectadas o realicen actividades que impliquen la elaboración de perfiles de las mismas.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Aunque el Ayuntamiento de Burgos había contratado a una empresa externa para realizar los servicios de adecuación a la normativa, no había designado a un delegado de protección de datos. Externalizar esta figura es una práctica válida y habitual, pues permite a las organizaciones cumplir los requerimientos legales sin alterar su estructura y funcionamiento, a mayores cuando esta figura clave para el cumplimiento debe tener extensos conocimientos en el Derecho y en la práctica en materia de protección de datos.

Incumplir este requerimiento legal conlleva la infracción del art. 37 del RGPD, lo que puede acarrear multas administrativas de hasta 10.000.000 de euros o de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior.

Microlab cuenta con un departamento legal altamente cualificado y con más de 15 años de experiencia en el asesoramiento en materia de protección de datos. Si tu organización está obligada a designar un delegado de protección de datos o decide designarlo de forma voluntaria, puedes contactar con nosotros para recibir información acerca de nuestros servicios.

Share this post

Related Posts

Publicación de imágenes de menores
Publicación de imágenes de menores en redes sociales: el necesario consentimiento de ambos progenitores

La actual normativa de protección de datos nacional, la Ley...

03/11/2022
Suplantación de identidad online
Suplantación de identidad online

La suplantación de identidad online es un riesgo que real...

02/06/2022
¿Qué es la Ley LSSI de comercio electrónico?

La Ley 34/2002 de Servicios de la Sociedad de la...

07/03/2022
Sancionan a Ilunion por enviar correos electrónicos a los empleados sin utilizar la copia oculta

La Agencia Española de Protección de Datos (AEPD) ha sancionado...

02/11/2023
¿Cuándo y cómo comunicar un incidente de seguridad? Cinco claves para entender esta obligación

Una de las grandes novedades que trajo el Reglamento General...

19/01/2023
Protección de datos por defecto: ¿Qué significa y qué obligaciones conlleva?

La protección de datos por defecto viene definida en el...

29/12/2022
Sancionan a un empresario por captar sonido a través de las cámaras de seguridad

La Agencia Española de Protección de Datos ha impuesto una...

28/09/2023
Comercio Electronico SEO
Comercio electrónico: aumenta el número de inspecciones realizadas a las tiendas online

El aumento de las compras por internet derivado de la...

19/05/2022
¿Por qué es crucial la auditoría LSSI para las empresas online?

En la era digital, el comercio electrónico ha experimentado un...

04/01/2024
¿Puede un club infantil publicar imágenes de los menores en las redes sociales?
¿Puede un club infantil publicar imágenes de los menores en las redes sociales?

Como consecuencia de la difusión de imágenes de menores, en...

23/12/2021