¿Es necesario para mi entidad un Delegado de Protección de Datos? Queremos contestar esta duda que nos encontramos con frecuencia.

El Delegado de Protección de Datos (DPD) es una nueva figura legislativa que ha surgido a raíz de la entrada en vigor del Nuevo Reglamento europeo de Protección de Datos (RGPD). Este nuevo perfil está centrado en desempeñar sus funciones en el tratamiento de las obligaciones legales en la materia de protección de datos de la entidad, persona física o empresa contratada.

El DPD asume unas funciones totalmente diferentes a las desarrolladas por otros profesionales del sector que también son prestadores de servicios de empresas:

  • Asesoramiento.
  • Supervisar el cumplimiento normativo.
  • Cooperación y enlace con la autoridad de control.
  • Atención a los interesados.

El RGPD da tres supuestos en los que es necesario un Delegado de Protección de Datos:

  1. Autoridad u organismo público, excepto tribunales.
  2. La actividad principal de los responsables o encargados consista en el tratamiento que requiera una observación habitual y sistemática de interesados a gran escala.
  3. La actividad principal de los responsable o encargados consista en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales.

La LOPDGDD enumera una lista más definida (artículo 34). Aún así, quedan dudas en determinados ámbitos, como por ejemplo, el sanitario o el jurídico.

Respecto de los despachos de abogados, la LOPDGDD no recoge nada. Éstos, dependiendo de su tamaño, pueden tratar datos a gran escala, o lógicamente datos de categorías especiales, incluso de condenas e infracciones penales. Es de lo más habitual. En un principio parece que estarían comprendidos dentro de lo dispuesto en el RGPD.

Qué entendemos por actividad principal en una organización y qué por tratamiento a gran escala:

Básicamente, la actividad principal en un despacho es todo lo relacionado con la abogacía, mientras que el resto, como pueda ser el pago de nóminas a empleados del despacho, son actividades auxiliares. De igual manera, actividad principal en el ámbito sanitario sería las historias clínicas.  

Respecto al concepto “gran escala”, es un concepto indeterminado, pero para no liar mucho la perdiz, daremos un ejemplo en sentido contrario: no se entiende tratamiento a gran escala el que realice un solo profesional, abogado o sanitario, respecto de sus clientes. Este es un ejemplo llevado al extremo, el profesional individual, por lo que entendemos que también es extensible a pequeñas organizaciones.

Al amplio elenco de supuestos que establece la LOPDGDD se une la remisión a normas sectoriales, como por ejemplo, la referida en la letra j) a las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, esto es:

  • Entidades de crédito, compañías de seguros y empresas de servicios de inversión.
  • Notarios y registradores.
  • Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia.
  • Abogados, procuradores u otros profesionales cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines.
  • Promotores inmobiliarios, APIs y agencias inmobiliarias.
  • Auditores de cuentas, contables externos y asesores fiscales.
  • Casinos de juego.
  • Joyeros, galerías de arte y anticuarios.
  • Loterías y otros juegos de azar.
  • Fundaciones y asociaciones.

En caso de dudas de si debe o no contar con la figura de un Delegado de Protección de Datos, nuestra recomendación es que se realice un análisis que determine si el tratamiento que se está realizando requiere del nombramiento del mismo, que nos sirva de prueba a efectos de una posible inspección de la AEPD.