El DPO según el RGPD

El Reglamento Europeo 2016/679, de 27 de abril, de Protección de Datos de carácter personal (RGPD), introdujo la figura del Delegado de Protección de Datos, más conocido como DPO por sus siglas en inglés (Data Protection Officer) definiéndolo como la persona física o jurídica, interna o externa con conocimiento y experiencia en materia de Protección de Datos suficiente para asesorar a la empresa Responsable del Tratamiento en la correcta adaptación a la normativa europea en materia de protección de datos, así como realizar un seguimiento continuo de todas las cuestiones y aspectos relevantes acerca de la misma. 

En cuanto a la obligatoriedad a la hora de designar un DPO, el RGPD establece en el artículo 37 que será necesario su nombramiento, fundamentalmente, ante las siguientes circunstancias, dejando a los Estados miembros la posibilidad de definir concretamente los sectores o actividades que requieren el nombramiento de dicha figura:

  • cuando el tratamiento lo lleve a cabo una autoridad u organismo público;
  • cuando las actividades de tratamiento requieran una observación habitual y sistemática de interesados a gran escala;
  • o cuando se proceda al tratamiento a gran escala, de datos de categorías especiales.

 

El DPO según la LOPDGDD

En el ámbito nacional la Ley 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD) desarrolla las directrices marcadas por el RGPD
y en su artículo 34 define los casos en los que será obligatoria la designación de un DPO. Los supuestos destacados por el precepto mencionado son:

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes y las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas  cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala
  5. perfiles de los usuarios del servicio.
  6. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación,
  7. Supervisión y solvencia de entidades de crédito.
  8. Los establecimientos financieros de crédito.
  9. Las entidades aseguradoras y reaseguradoras.
  10. Las empresas de servicios de inversión.
  11. Los distribuidores y comercializadores de energía eléctrica.
  12. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  13. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  14. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas.
  15. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que
  16. se refieran a personas físicas.
  17. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
  18. Quienes desempeñen actividades de seguridad privada.

 

Funciones del DPO según ambas normativas

 Según lo dispuesto tanto en el RGPD como en la LOPDGDD, las principales funciones a asumir por el DPO serán esencialmente las siguientes:

  • Informar y asesorar al Responsable del Tratamiento, acerca de las obligaciones que han de cumplir conforme a lo dispuesto por ambas normativas.
  • Supervisar el cumplimiento de lo dispuesto en las normativas, así como en las políticas y protocolos elaborados por el Responsable del Tratamiento, en materia de protección de datos personales.
  • Prestar asesoramiento para determinar la necesidad de realizar Evaluaciones de Impacto y Análisis de Riesgo por parte del Responsable del Tratamiento.
  • Actuar como interlocutor y punto de contacto con la Agencia Española de Protección de Datos, y cooperar con la autoridad de control en cualquier cuestión que pudieran afectar al Responsable del Tratamiento,
  • Intermediar en casos de ejercicio de Derechos por parte de los afectados

 

En ATEA COMPLIANCE contamos con profesionales especialistas en protección de datos, que prestan asesoramiento jurídico personalizado y que cuentan con la cualificación necesaria para ser el DPO EXTERNO de su empresa, en el caso en que estuviese obligado a su nombramiento ofreciendo así un servicio integral de alto nivel.