¿Qué empresas están obligadas a tener un delegado de protección de datos?

Escrito por el

Una de las novedades implantadas por el Reglamento General de Protección de Datos (RGPD) es la implantación de la figura del Delegado de Protección de Datos (DPD, o DPO por sus siglas en ingés).

El delegado de protección de datos asume funciones relacionadas con el cumplimiento de la normativa de datos personales, pero su presencia no es obligatoria en todas las empresas. En realidad esta figura no es algo novedoso, puesto que ya estaba prevista en algunas legislaciones europeas. Sin embargo, desde la entrada en vigor del RGPD ahora ciertas empresas y entidades españolas también están obligadas a tener a un profesional de este tipo.

¿Qué es un DPD?

Se trata de una persona con formación específica en materia de protección de datos y que asume las funciones de asesoramiento a la empresa sobre este tema, auditoría para comprobar que hay una buena adaptación a la legislación y de mediación en caso de surgir conflictos.

Se encarga también de cooperar con las autoridades de control, en el caso de España con la Agencia Española de Protección de Datos (AEPD), en caso de posibles violaciones de seguridad.

La característica principal de este profesional es que debe actuar siempre de forma independiente a la empresa, velando por el cumplimiento de la normativa. Puede ser tanto un trabajador de la compañía como un asesor externo.

En el caso de incumplimiento de la normativa sobre protección de datos, no se podrá imponer una sanción administrativa al Delegado de Protección de Datos, aunque esto no implica que no pueda ser despedido legalmente por la empresa si ha incumplido sus funciones.

¿Qué empresas deben tener un DPD?

El RGPD no establece claramente en qué casos es necesario que una empresa cuente con los servicios de este profesional, pero la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) sí ha entrado de lleno en esta cuestión, señalando qué empresas y organismos públicos deben tener DPD, son las siguientes:

  • Autoridades y organismos públicos, con la excepción de juzgados y tribunales.

  • Colegios profesionales.

  • Centros docentes de todos los niveles educativos (guarderías, universidades, etc.)

  • Compañías comercializadoras y distribuidoras de electricidad, gas y energía.

  • Responsables de registros de impagados (registros de morosos).

  • Entidades bancarias.

  • Aseguradoras.

  • Empresas de telecomunicaciones.

  • Entidades que presten servicios de la sociedad de la información.

  • Responsables de los ficheros previstos en la Ley de Prevención de Blanqueo de Capitales: esto incluye entre otros a agencias inmobiliarias, promotores inmobiliarios, Notarios y Registradores; abogados, procuradores y otros profesionales liberales que puedan actuar por cuenta de sus clientes en operaciones financieras, inmobiliarias o constituir sociedades. Casinos y joyeros.

  • Centros sanitarios.

  • Entidades que emiten informes comerciales relativos a personas físicas.

  • Operadores de juego online.

  • Fundaciones y asociaciones.

  • Empresas de seguridad privada.

  • Federaciones deportivas si tratan datos de menores de edad.

  • Agencias de publicidad que elaboren perfiles de usuarios.

Estas son las entidades que están obligadas por ley. Si no cuentan con los servicios de este profesional, pueden ser sancionadas con multas que pueden llegar a ser de millones de euros. 

En el caso de empresas que no tienen obligación legal de tener un DPD, pueden tener uno si lo estiman conveniente para el desarrollo de su labor y para evitar posibles problemas en materia de protección de datos.