Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

Sandra Ibarrondo

¿Tenemos obligación de tener una persona delegada de protección de datos?

15.10.18

Hola,

Quisiéramos preguntar si tenemos obligación de tener un delegado de protección de datos (dpd) en una asociación de personas con discapacidad que tiene un volumen 300 personas asociadas y 10 profesionales trabajando.

Hasta ahora nosotros contamos con una personas responsable de seguridad, documentos de seguridad, cláusulas, protocolos. Desde la empresa que nos lo lleva nos dicen que necesitaríamos además esta figura, lo que nos supone un gasto añadido importante. Queremos saber si es así.

Gracias,

ATECE ARABA

Compárte en las redes sociales

Respuestas

avatar
#1

Aportada por:

Julio Hurtado

Millennium Sistemas - Asesoría Tecnológica

Trabaja en:

Asesor particular

15.10.18

Si. Puede ser interna o externa, pero si teneis obligación

avatar
#2

Aportada por:

Francesc Verdaguer

Capacitación y desarrollo

Trabaja en:

Asesor particular

15.10.18

Hola Sandra,
En las FAQS de la AEPD detalla los supuestos en los que es obligatorio nombrar un delegado
También puedes revisar este documento de la Agencia Vasca de Protección de datos, que en 8 puntos te puede ayudar.
Lo que sí que es imprescindible que tengáis ‘identificado’son los encargados de tratamiento de datos (externos y internos) y los responsables de los tratamientos, así como algunos items más, importantes todos ellos. Si tienes dudas sobre estas figuras, pide ‘a la empresa que os lo lleva’ que os ayude a aclararlo, a identificarlos, y a que estén debidamente formados y concienciados con el cumplimiento del RGPD. De nada sirve un Delegado, si los colaboradores que día a día tratan los datos no cumplen las exigencias en materia de protección de datos ‘de puertas adentro’.
La obligatoriedad, hoy por hoy, como podrás ver en los documentos que te sugiero, viene determinada: 1- por que así lo establecen a) la AEPD, b) el reglamento de forma expresa por la tipología de los datos y las actividades principales de la organización (tratamiento a gran escala de categorías especiales de datos)

Personalmente creo que siempre es prudente contar con esta figura como ‘mediador’ y orientador dentro de la organización, enlace con la AEPD en caso de conflicto, y como última instancia, referente o puntode atención de un afectado por haber hecho un mal uso de sus datos personales (o ‘presunto’), para intentar evitar que ‘vaya más allá’.

Espero que esta explicación te resulte clara y de utilidad,
Saludos,
Francesc

avatar
#3

Aportada por:

Carolina Bardisa

Consultora tecnológica de CiviCRM en Ixiam Global Solutions www.ixiam.com

Trabaja en:

Asesor particular

15.10.18

Hola Sandra,

La designación de un DPO (delegado de protección de datos) no es obligatoria, aunque sí recomendable para velar por el cumplimiento de la RGPD, salvo que vuestra organización se encuentre en alguno de los siguientes casos:
-Organismos e instituciones públicas.
-Empresas que superen los 250 empleados.
-Empresas cuya actividad sea el tratamiento de datos, aunque no superen los 250 empleados.
-Entidades o empresas que manejan datos especialmente protegidos, como los referidos a la salud, religión, creencias, etc.

Espero haberte ayudado.

Un saludo,

Carolina Bardisa
Ixiam Global Solutions

avatar
#4

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

20.10.18

Estimada Sandra: en relación con la consulta planteada, paso a informarle lo siguiente: en primer lugar, aunque en algunos países de la Unión Europea como Alemania, Bélgica, Hungria o Polonia existe la figura jurídica del Delegado de Protección de Datos (en adelante, DPD), no obstante, con la entrada en vigor el día 25 de mayo de 2018 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), esta figura jurídica forma parte de nuestro ordenamiento jurídico estatal.
Al respecto, el DPD viene regulado en la sección 4ª del RGPD, concretamente, en su artículo 37.1 donde establece las organizaciones que deberán nombrar un DPD:
1) Autoridades y organismos públicos.
2) Organizaciones que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, o que procesen categorías especiales de datos personales a gran escala.
Centrándonos en el segundo supuesto, el mismo puede crear algunas dudas, sobre si un responsable o encargado del tratamiento debe nombrar un DPD dentro de su organización, son los términos del segundo punto: «Actividades principales del responsable o el encargado del tratamiento», “gran escala”, “seguimiento regular o sistemático” o “categorías especiales de datos personales”.
En este sentido, cabe estar al análisis realizado por el Grupo de Trabajo del Artículo 29 (GT29) en sus Directrices sobre los delegados de la protección de datos, que intenta dar luz a estas cuestiones, pudiendo traerse a colación las siguientes menciones:
-El GT29 recomienda que todas las entidades, entre ellas, las entidades privadas sin ánimo de lucro como las asociaciones y fundaciones, cuenten con un DPD, ya que facilita el cumplimiento de la normativa. Además, el GT29 recomienda que los responsables y encargados del tratamiento documenten el análisis interno llevado a cabo para determinar si debe nombrarse o no un DPD a fin de poder demostrar que se han tenido en cuenta adecuadamente los factores pertinentes.
-En lo que se refiere a las “Actividades principales del responsable o el encargado del tratamiento”, el GT29 establece en sus directrices que las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o el encargado del tratamiento. Pone de ejemplo la actividad de un hospital, que es la de prestar asistencia sanitaria, pero que no podría funcionar sin el tratamiento de datos de salud. Por tanto, un hospital sería un sujeto obligado a tener un DPD.
-En lo que concierne a la expresión “A gran escala”, en el Considerando 91 del RGPD podemos encontrar una aproximación del significado que se pretende dar al término “Gran escala”: “operaciones de tratamiento a gran escala que tengan por objeto procesar una cantidad considerable de datos personales en el ámbito regional, nacional o supranacional, que pudieran afectar a un gran número de interesados y que sean susceptibles de generar un riesgo elevado”.
Debido a la imposibilidad de señalar una cifra exacta que se convierta en el umbral de los tratamientos a gran escala, el GT29 recomienda que se tengan en cuenta algunos factores, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:  número de interesados involucrados; volumen de datos o el abanico de diferentes conceptos de datos que se procesan; duración o permanencia de la actividad de tratamiento de datos; alcance geográfico de la actividad de tratamiento.
Asimismo, el GT29 pone algunos ejemplos de lo que serían tratamientos a gran escala: tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad; tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios; tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco; tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda; tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet. 
-En cuanto a la expresión “Seguimiento regular y sistemático”, el GT 29 deja claro que este concepto incluye todas las formas de seguimiento y creación de perfiles en Internet, inclusive a efectos de publicidad basada en el comportamiento.  No obstante, aclara el GT29, la noción de seguimiento no está limitada al entorno on-line.
Establece algunos ejemplos de operaciones de este tipo: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correo electrónico; creación de perfiles y puntuación con fines de evaluación de riesgos; seguimiento de ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelización; publicidad basada en el comportamiento; seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles; circuito cerrado de televisión; dispositivos conectados…
-Por lo que se refiere a la expresión “Categorías especiales de datos y datos relativos a condenas y delitos penales”, en este punto no existe controversia, ya que el propio Artículo 37.1 nos remite a los datos recogidos en los Artículos 9 y 10 del RGPD. No obstante, el GT29 aclara que aunque en el texto aparece la conjunción “Y” debe entenderse como “O”: “Categorías especiales de datos o datos relativos a condenas y delitos penales”.
De otra parte, en cuanto a cómo se regulará en la normativa nacional estatal lo referido anteriormente, la AEPD en su 9ª sesión anual abierta no quiso pronunciarse sobre si la futura ley orgánica que derogará a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal contendrá algún tipo de listado de organizaciones o sectores obligados.
No obstante, expuso una lista de organizaciones, a título enunciativo y no exhaustivo, donde sí se dan los requisitos del Artículo 37.1 del RGPD:
Entidades aseguradoras y reaseguradoras.
Distribuidores y comercializadores de energía eléctrica o gas natural.
Entidades responsables de sistemas de información crediticia.
Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
Centros sanitarios.
Centros docentes que ofrezcan enseñanzas regladas, universidades.
Colegios profesionales.
Entidades dedicadas al juego on line…
Con todo lo anterior, cabe colegir, a la luz de lo expuesto, que la designación de un DPD no es obligatoria en el seno de vuestra entidad, aunque sí recomendable para velar por el cumplimiento del RGPD, considerándose el DPD como una suerte de mediador y orientador dentro de vuestra organización, de enlace con la AEPD, en caso de conflicto, y en última instancia, como un referente de una persona afectada dentro de vuestra entidad por haber hecho un presunto mal uso de sus datos personales.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com

solucionesong.org
Un proyecto de