¿Qué es el DPO Delegado de Protección de Datos?
En el nuevo RGPD, en los artículos 37, 38 y 39, toma protagonismo una nueva figura, el “DPO Delegado Protección de Datos”.
El Data Protection Officer o DPO (en español DPD, «Delegado de Protección de Datos») debe hacerse responsable por la protección, gestión y el tratamiento de los datos de una empresa u organización. Su tarea es la de informar al personal responsable de los aspectos legales y prácticos del tratamiento de los datos, supervisando que se apliquen las reglamentaciones correspondientes y se capacite al personal necesario para evitar filtraciones y pérdidas de información.
En cuanto a la formación, la reglamentación no establece requisitos específicos. Por lo tanto, para ejercer como Delegado de Protección de Datos existen distintas opciones: formarse como científico de datos, tener conocimiento y experiencia con las normativas correspondientes, poseer formación en el sector empresarial, manejar sistemas de seguridad, etc.
¿Quién debe tener un DPO Delegado de Protección de Datos?
Según el RGPD están obligados a tener un DPO Delegado Protección de Datos:
- Las autoridades y organismos públicos
- Entidades con actividad principal consistente en el tratamiento habitual y sistemático de interesados a gran escala
- Entidades con tratamiento de datos sensibles a gran escala (categorías especiales o relativos a delitos penales)
Es decir, además de las entidades públicas tiene que contar con la figura de un DPO las empresas privadas que traten datos personales sensibles (religión, datos de salud, etc.) “a gran escala”.
En cualquier caso, un grupo empresarial podrá contratar a un único DPO para todo el grupo, siempre y cuando, sea accesible desde cualquiera de los establecimientos del grupo empresarial.
Según la Ley Orgánica 03/2018 de Protección de Datos, las siguientes entidades deberán incorporar esta figura (ya bien sea de manera interna o externa):
- Los colegios profesionales y sus consejos generales, regulados sobre colegios profesionales.
- Los centros docentes que ofrezcan enseñanzas de Educación, y las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito, de fomento de la financiación empresarial.
- Las entidades aseguradoras y reaseguradoras sometidas a la de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros, de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, de regulación del juego.
- Quienes desempeñen las actividades de Seguridad Privada.
Contratar un DPO Delegado de Protección de Datos
La figura del DPO Delegado de Protección de Datos puede ser contratado de manera interna o externa. Es importante que el mismo cumpla con los requisitos descritos en puntos anteriores.
Deberá ser nombrado y comunicado tanto al personal de la propia entidad como a la AEPD en el plazo máximo de 10 días.
AIXA Corpore ofrece sus servicios de DPO Delegado de Protección de Datos de manera personalizada para cada entidad y se pone a su disposición para cualquier duda que pueda tener, únicamente tiene que ponerse en contacto con nosotros.
Donde prestamos nuestro servicio de implantación a la RGPD
Prestamos nuestro servicio de implantación de DPO (Delegado de Protección de Datos) en Tenerife, La Gomera, La Palma, El Hierro, Las Palmas de Gran Canaria, Lanzarote y Fuerteventura (Islas Canarias), A Coruña (Santiago de Compostela), Ourense, Lugo y Pontevedra (Vigo) (Galicia), Madrid y Barcelona, así como en toda España peninsular e insular, Ceuta y Melilla.