ALDC Abogados
Búsqueda en los contenidos de la web

DPO Certificado

ALDC ABOGADOS presta servicios como DELEGADO DE PROTECCION DE DATOS externo que permitirá a tu organización cumplir con todas las obligaciones derivadas del Reglamento General de Protección de datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales LOPDGDD.

Desde nuestras oficinas en Asturias y Madrid damos cobertura a nuestros clientes a lo largo de todo el territorio nacional.

 

¿Qué es un Delegado de Protección de Datos?

Figura creada por el RGPD cuya función es la supervisión, monitorización de la aplicación de la normativa de protección de datos a los procesos y tratamientos que lleva a cabo una organización.

 

¿Qué requisitos debe cumplir un Delegado de Protección de Datos?

a) Informar y asesorar al responsable y al encargado del tratamiento de las obligaciones exigidas por el RGPD y la LOPDGDD;

b) Supervisión del cumplimiento de la normativa aplicable. Entre otras actividades puede:

    a. Recabar información para determinar las actividades de tratamiento;
    b. Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;
    c. Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.

c) Asesorar sobre la Evaluación de Impacto;
d) Cooperar con la autoridad de control;
e) Actuar como punto de contacto con la autoridad de control.

 

¿Qué funciones desempeña el DPO?

a) Informar y asesorar al responsable y al encargado del tratamiento de las obligaciones exigidas por el RGPD y la LOPDGDD;

b) Supervisión del cumplimiento de la normativa aplicable. Entre otras actividades puede:

    a. Recabar información para determinar las actividades de tratamiento;
    b. Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;
    c. Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.

c) Asesorar sobre la Evaluación de Impacto;
d) Cooperar con la autoridad de control;
e) Actuar como punto de contacto con la autoridad de control.

 

¿Qué principios debe guiar la actividad de un Delegado de Protección de Datos?

De conformidad con el Código Ético de las personas certificadas como delegados de protección de datos conforme al esquema de la Agencia Española de Protección de Datos, la actividad de los Delegados de Protección de Datos debe regirse por los siguientes principios:

a) Legalidad e integridad;
b) Profesionalidad;
c) Responsabilidad en el desarrollo de su actividad profesional y personal, asumiendo sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias.;
d) Imparcialidad;
e) Transparencia;
f) Confidencialidad;

 

¿Qué posición ostenta el DPO en el seno de una organización?

Para que el Delegado de Protección de Datos pueda llevar a cabo sus funciones debe poder realizar las siguientes actividades:

a) Participar en todas las cuestiones relativas a la protección de datos personales;
b) Tener a su disposición los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados;
c) Estar en condiciones de desempeñar sus funciones y cometidos de manera independiente, no pudiendo ser destituido, ni sancionado con motivo del desempeño de sus funciones;
d) No recibir instrucciones en lo relativo al ejercicio de sus funciones;
e) Pueden desempeñar otras funciones y cometidos, siempre que se garantice que su ejercicio no dé lugar a conflicto de intereses;

 

¿Es obligatorio contar con un Delegado de Protección de Datos?

De acuerdo con el artículo 37.1 del RGPD es obligatorio designar DPO en los siguientes casos:

a) cuando el tratamiento lo lleve a cabo una autoridad u organismo público:
b) cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala;
c)  cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales;

Así mismo el artículo 34 de la LOPDGDD complementa al RGPD estableciendo la obligación de designar DPD en los siguientes supuestos:

a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f)  Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i)  Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j)  Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l)  Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
m)Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
n) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
o) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
p) Las empresas de seguridad privada.
q) Las federaciones deportivas cuando traten datos de menores de edad

 

¿Qué significa la expresión 'tratamientos de datos a gran escala'?

El RGPD no define qué se entiende por tratamiento a gran escala. En todo caso, el Grupo del Trabajo del Artículo 29 recomienda tener en cuenta los siguientes factores para su determinación:

a)  el número de interesados afectados;
b)  el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
c)  la duración, o permanencia, de la actividad de tratamiento de datos;
d) el alcance geográfico de la actividad de tratamiento.

Así mismo, el Considerando 91 del RGPD entiende que se consideran operaciones de tratamiento a gran escala, aquellas que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo.

 

¿Qué significa la expresión 'actividades que requieran una observación habitual y sistemática de interesados'?

De conformidad con lo dispuesto por el Grupo de Trabajo del artículo 29, se entiende como habitual lo siguiente:

a)  continuado o que se produce a intervalos concretos durante un periodo concreto;
b)  recurrente o repetido en momentos prefijados;
c)  que tiene lugar de manera constante o periódica.

Así mismo interpreta como sistemática lo siguiente:

a)  Que se produce de acuerdo con un sistema;
b)  Preestablecido, organizado o metódico;
c)  Que tiene lugar como parte de un plan general de recogida de datos;
d)  Llevado a cabo como parte de una estrategia.

 

¿Qué se entiende por categorías especiales de datos?

Son categorías especiales de datos:

a)  Origen étnico o racial;
b)  Opiniones políticas;
c)  Convicciones religiosas o filosóficas;
d)  Afiliación sindical;
e)  Datos genéticos;
f)   Biométricos dirigidos a identificar de manera unívoca a una persona física;
g)  Relativos a la salud;
h)  Vida sexual;
i)  Orientación sexual; 

 

¿Si no estoy obligado a nombrar un Delegado de Protección de Datos, puedo nombrar un DPD?

Un Responsable del Tratamiento puede designar un DPO de manera voluntaria. Algunas de las ventajas de designar un DPD para aquellas organizaciones que no están obligadas nombrarlo es que les permitirá cumplir de manera más efectiva los requerimientos de la normativa de protección de datos y acreditar de una manera más sencilla su compromiso con el cumplimiento del RGPD y la LOPDGDD.

 

¿Puede designarse un DPD externo?

El DPD podrá ser un miembro de la plantilla del responsable o el encargado el tratamiento (DPD interno) o desempeñar sus funciones en el marco de un contrato de servicios.

 

¿Los Encargados de Tratamiento deben nombrar un DPO?

De acuerdo con el RGPD los requisitos para nombrar un Delegado de Protección de Datos resultan de aplicación tanto a los Responsables del Tratamiento como a los Encargados?

 

¿Puede designarse un único Delegado de Protección de Datos para un grupo de sociedades?

El artículo 37.2 RGPD permite a un grupo empresarial designar un único DPD, siempre que este sea fácilmente accesible desde cada establecimiento por parte de los interesados, la autoridad de control y los empleados de la organización.

 

¿Comunicación del nombramiento del DPD a la Agencia Española de Protección de Datos?

Tanto si se trata de Delegados de Protección de Datos nombrados por organizaciones que están obligadas, como aquellas que lo hacen de manera voluntaria, tanto su designación, como su cese deben comunicarse a la Agencia Española de Protección de Datos en el plazo de diez días.

 

¿Qué datos del DPO debo poner a disposición de los interesados puedan ponerse en contacto con él?

Los interesados pueden ponerse en contacto con el Delegado de Protección de Datos por lo que respecta a cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.

Se recomienda facilitar un número de teléfono, una dirección postal y una dirección de correo electrónico o incluir un formulario de contacto. No es necesario incluir el nombre y apellido del Delegado de Protección de Datos.