El próximo mes de mayo, entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD) y una de las nuevas exigencias que acarreará es la contratación de un DPO (Delegado de Protección de Datos).

DPO

El DPO puede ser una persona física o jurídica, interna o externa a la empresa. La norma como tal, continúan desde la consultora, no ofrece los casos concretos para la contratación de un DPO, pero si establece en su art. 37 tres casos en los cuales es obligatoria la contratación de este profesional, y estos son:

  • El tratamiento lo lleve a cabo una autoridad u organismo público.
  • Las actividades principales del responsable o encargado del tratamiento consistan en operaciones que requieren un seguimiento regular y sistemático del interesado a gran escala.
  • Las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala categorías especiales de datos personales relacionados con condenas o delitos.

Además, el nuevo Reglamento de Protección Oficial de Datos recoge la obligación de contratar un DPO en organizaciones e instituciones públicas y en entidades que dispongan en su plantilla de más de 250 trabajadores, en el caso que estas tengan menos de 250 empleados será obligatoria la contratación de un DPO en el momento que necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización e investigación de mercados, análisis de riesgos y datos crediticios o de solvencia patrimonial y también cuando traten los citados datos catalogados de especialmente protegidos.

Por todo ello, nos explican desde Aemol Consulting que en virtud del Anteproyecto de la Ley Orgánica de Protección de Datos, en sus artículos 35 y 37 se establece que tendrán la obligación de designar un DPO: los colegios profesionales y sus consejos generales, los centros docentes, los centros sanitarios, las entidades que exploten redes y presten servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información, las entidades de crédito, las empresas de servicios de inversión, los distribuidores y comercializadores de energía eléctrica y de gas natural, las entidades que desarrollen actividades de publicidad y prospección comercial así como los operadores que desarrollen la actividad del juego.

Las funciones a desempeñar por parte del Delegado de Protección de Datos están recogidas en el artículo 39 del Reglamento Europeo de Protección de Datos. Aemol Consulting nos detalla las mismas:

  • Informar, asesorar y sensibilizar al responsable de la empresa y trabajadores sobre el cumplimiento de la normativa.
  • Supervisar la implantación y aplicación de las políticas de protección de datos en la empresa.
  • Atender las peticiones de información de los interesados en el ejercicio de sus derechos de conformidad con la legislación de protección de datos.
  • Velar por la documentación que contenga datos personales.
  • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con la normativa.
  • Supervisar la Evaluación de Impacto de Protección de Datos.
  • Supervisar la respuesta a las solicitudes de la Agencia Española de Protección de Datos.
  • Actuar como punto de contacto para la Agencia Española de Protección de Datos (AEDP).
  • Comprobar la conformidad del tratamiento cuando sea necesario realizar una consulta previa a la AEPD.

De la misma forma que el RGPD regula los casos concretos contratación del DPO, la tipología de instituciones y empresas en función de número de empleados y nos esboza sus funciones, la normativa prevé que el incumplimiento de las obligaciones del responsable y del encargado de la empresa en designar a un Delegado de Protección de Datos, se sancionarán de acuerdo con el apartado 2, con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.