Delegado de Protección de Datos

Buenos días Marta.
Tu respuesta nos la aclara el art. 34 de la LOPDGDD (Ley 3/2018 5 diciembre)
En concreto el aparado 1 nos da un relación bastante extensa de las entidades que están obligadas a designar a un DPD. Te paso la relación y un enlace a la norma completa por si deseas ampliar la información.
Salvo mejor opinión

Un saludo.-

Art 34.1 Ley 3/2018 5 diciembre:
“_1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad._”

Ley 3/2018 5 diciembre

Muchas gracias por su respuesta Manuel,
Siguiendo con la consulta nos gustaría saber qué requisitos debe cumplir la persona que nombremos en su caso y si esto puede estar externalizado, si el Delegado podría ser un externo.

Gracias
Un saludo
Marta Lamparero

Buenas tardes Marta.
Creo que podría interesarte el documento elaborado por el grupo de trabajo creado en virtud de la Directiva Europea 95/46/CE, en la que se establecen una serie de directrices y recomendaciones relativas a la aplicación efectiva del RGPD. Te transcribo aquí las partes que considero más interesantes sobre lo que me preguntas y el enlace al texto completo. No obstante y a modo de resumen, te indico que el DPD Sí puede ser una persona o incluso una empresa externa al responsable del tratamiento de los datos. Respecto a los requisitos, si bien no se establecen concreciones sobre esto, si se fijan una serie de recomendaciones que son las que te transcribo:

Extraído del GT 29:
2.4. Accesibilidad y ubicación del DPD
De conformidad con la sección 4 del RGPD, la accesibilidad del DPD debe ser efectiva.
Para garantizar que el DPD sea accesible, el Grupo de Trabajo del artículo 29 recomienda que el DPD se encuentre en la Unión Europea, con independencia de si el responsable o el encargado del tratamiento está establecido en ella.
No obstante, no debe excluirse que, en algunas situaciones en las que el responsable o el encargado del tratamiento no tenga establecimiento en la Unión Europea25, un DPD pueda llevar a cabo sus actividades de manera más eficaz si se encuentra situado fuera de la Unión Europea.
2.5. Conocimientos y habilidades del DPD
El artículo 37, apartado 5, establece que el delegado de protección de datos «será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39».
El considerando 97 dispone que el nivel de conocimientos especializados necesario se debe determinar en función de las operaciones de tratamiento de datos que se realicen y de la protección exigida para los datos personales tratados.
• Nivel de conocimientos
El nivel de conocimientos requerido no está definido estrictamente, pero debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata. Por ejemplo, cuando la actividad de tratamiento de los datos es especialmente compleja o cuando implica una gran cantidad de datos sensibles, el DPD podría necesitar un nivel mayor de conocimientos y apoyo. Existe también una diferencia dependiendo de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si dichas transferencias son ocasionales. Así pues, el DPD debe elegirse con cuidado, teniendo debidamente en cuenta las cuestiones relativas a la protección de datos que surjan en la organización.
• Cualidades profesionales.
Aunque el artículo 37, apartado 5, no especifica las cualidades profesionales que se deben tener en cuenta a la hora de designar al DPD, un factor importante es que este tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD. Resulta también de utilidad que las autoridades de control promuevan una formación adecuada y periódica para los DPD.
El conocimiento del sector empresarial y de la organización del responsable del tratamiento es también útil. Asimismo, el DPD debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento.
En el caso de una autoridad u organismo público, el DPD debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización.
• Capacidad para desempeñar sus funciones
La capacidad del DPD para desempeñar sus funciones debe interpretarse tanto en referencia a sus cualidades personales y conocimientos como a su puesto dentro de la organización. Las cualidades personales deben incluir, por ejemplo, la integridad y un nivel elevado de ética profesional; la principal preocupación del DPD debe ser posibilitar el cumplimiento del RGPD. El DPD desempeña un papel fundamental en la promoción de una cultura de protección de datos dentro de la organización y contribuye a la aplicación de elementos esenciales del RGPD, como los principios relativos al tratamiento de datos, los derechos de los interesados, la protección de los datos desde el diseño y por defecto, el registro de las actividades de tratamiento, la seguridad del tratamiento y la notificación y comunicación de las violaciones de la seguridad de los datos.
• El DPD en el marco de un contrato de servicios
La función del DPD puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena a la organización del responsable o del encargado del tratamiento. En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD (p.ej. es fundamental que nadie tenga un conflicto de intereses). Es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD (p. ej. las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD, así como la destitución improcedente del miembro de la organización que realice las funciones del DPD). Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz.
En aras de la claridad jurídica y de la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD y designar una única persona como contacto y persona «a cargo» de cada cliente. Sería también útil, en general, especificar estos puntos en el contrato de servicios.

Enlace al documento completo del GT 29