¿Qué es un Delegado de Protección de Datos?
¿Cuáles son sus funciones?
¿Quién puede ser delegado de protección de datos?
¿Qué estatus tiene?
¿En qué casos es necesario nombrarlo?
¿Qué puede pasar si no se nombra el delegado de protección de datos cuando sea necesario?
El delegado de protección de datos es una figura novedosa que aparece por primera vez en la normativa sobre protección de datos personales en el Reglamento General de Protección de Datos Europeo.
Mucho se ha hablado y publicado sobre esta figura desde la publicación en mayo de 2016 del Reglamento General de Protección de Datos y muchas son las dudas que han surgido sobre sus funciones y sobre la obligatoriedad de su nombramiento por los responsables y encargados del tratamiento de datos personales.
A continuación, damos respuesta a las preguntas más comunes sobre esta figura.
¿Qué es un Delegado de Protección de Datos?
El delegado de protección de datos es una persona que se encarga de informar y asesorar al responsable o el encargado del tratamiento sobre las obligaciones que le imponen la normativa de protección de datos y se encarga de supervisar el cumplimiento de la normativa por el responsable o el encargado del tratamiento y su organización.
¿Cuáles son las funciones del delegado de protección de datos?
El delegado de protección de datos tiene que desarrollar respecto del responsable o el encargado del tratamiento de datos personales las siguientes funciones:
a) informar y asesorar en el cumplimiento de las obligaciones que les imponen la normativa de protección de datos.
b) supervisar el cumplimiento de la normativa de protección de datos
c) concienciar y formar al personal que participa en las operaciones de tratamiento.
d) asesorar en la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
e) cooperar con la autoridad de control;
d) actuar como punto de contacto entre la autoridad de control y el responsable del tratamiento.
f) atender las peticiones de los interesados en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
¿Quién puede ser delegado de protección de datos?
Puede ser delegado de protección de datos todo aquel que disponga de conocimientos especializados del Derecho y la práctica en materia de protección de datos y de cualidades profesionales y capacidad para desempeñar las funciones propias del delegado de protección de datos.
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o ser contratado como profesional externo con relación de contrato de servicios.
¿Qué estatus tiene el delegado de protección de datos dentro de la organización del responsable o del encargado del tratamiento?
El delegado de protección de datos responde de su actuación directamente al más alto nivel jerárquico del responsable o encargado del tratamiento y actúa de forma independiente y sin recibir instrucciones en lo que respecta al desempeño de sus funciones.
El delegado de protección de datos no puede ser destituido ni sancionado por el responsable o el encargado del tratamiento con motivo del desempeño de sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.
¿Qué responsables o encargados del tratamiento de datos personales tienen que nombrar un delegado de protección de datos?
No todos los responsables y encargados de tratamientos de datos personales tienen obligación de nombrar un delegado de protección de datos.
Tiene que nombrarse en los siguientes casos:
a) Cuando el responsable del tratamiento sea una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
b) Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que afecten a una importante cantidad de interesados.
c) Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales, tales como origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, datos relativos a la vida sexual o las orientaciones sexuales de una persona física o de datos relativos a condenas e infracciones penales.
En todo caso deben nombrar un delegado de protección de datos:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica de Educación y las Universidades.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
ñ) Las empresas de seguridad privada y los despachos de detectives privados.
¿Qué puede pasar si no se nombra el delegado de protección de datos cuando sea necesario?
El incumplimiento de la obligación del nombramiento del delegado de protección de datos cuando resulte necesario es considerado una infracción que puede ser sancionado con multas administrativas de 10.000.000 de euros como máximo o, si se el responsable o encargado del tratamiento es una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Puede descargar este artículo aquí: