¿Cuándo es necesaria la figura de un Delegado de Protección de Datos?
El RGPD y la LOPDGDD indican cuando es necesario tener un Delegado de Protección de Datos, si bien, la ley española es mucho más concreta que el reglamento europeo, y señala cuáles son exactamente los sectores de actividad o tipos de organizaciones dónde es necesaria la figura de un Delegado de Protección de Datos de manera obligatoria.
Así, siempre que la empresa u organización trate datos personales de forma masiva o realice un tratamiento de datos que pueda entrañar un riesgo elevado para los derechos o libertades de las personas. El artículo 34 de la LOPDGDD señala exactamente las actividades y empresas en las que es necesaria la figura de un Delegado de Protección de Datos.
En concreto, la designación de un delegado de protección de datos es obligatoria para:
-
Los colegios profesionales y sus consejos generales.
-
Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
-
Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
-
Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
-
Establecimientos financieros de crédito.
-
Entidades aseguradoras y reaseguradoras.
-
Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
-
Distribuidores y comercializadores de energía eléctrica y gas natural.
-
Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
-
Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
-
Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, salvo los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
-
Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
-
Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
-
Empresas de seguridad privada.
-
Federaciones deportivas cuando traten datos de menores de edad.
Así mismo, también deberá haber un DPD/DPO en las Administraciones Públicas y las empresas obligadas a tener implementado un canal de denuncias interno (entidades con más de 49 trabajadores).
No es obligatorio designar un Delegado de Protección de Datos si no se está en alguno de los grupos anteriores, si no se tratan datos de forma masiva, o los datos personales no entrañan elevado riesgo para los derechos y libertades del individuo. Aun así, contar con un Delegado de Protección de Datos en la empresa siempre es recomendable, sobre todo en negocios u organizaciones de cierta envergadura.