¿Cuándo es obligatorio contratar a un Delegado de Protección de Datos (DPO)?

Tras la reciente aprobación y entrada en vigor del Reglamento Europeo de Protección de Datos, de directa y obligada aplicación dentro de dos años, nos encontramos con algunos cambios significativos a nivel de protección de datos, entre ellos, nos encontramos con la figura del Delegado de Protección de Datos o DPO (sus siglas en inglés – “Data Protection Officer”), figura que no existía hasta la fecha.

Dicha figura viene regulada en los artículos 37 a 39 del precitado Reglamento.

¿Cuándo se tiene que contar con la presencia de un Delegado de Protección de Datos (DPO)?

Según establece el artículo 37.1 del Reglamento Europeo de Protección de Datos:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Así, todos los organismos públicos estarán obligados a contar con la ayuda de un Delegado de Protección de Datos (DPO), eso sí, el Reglamento posibilita que un conjunto de organismos dispongan de un único DPO teniendo en cuenta su estructura organizativa y tamaño.

Además de las entidades públicas, las empresas privadas que traten datos personales sensibles (etnia, salud…) “a gran escala” tendrán que contratar los servicios de un Delegado de Protección de Datos. Ahora, falta por determinar qué se entiende por “gran escala”. Desde mi punto de vista, deberán contar con un DPO todas las empresas privadas que traten datos sensibles de forma sistemática y habitual y de forma masiva (clínicas médicas, colegios…). En cualquier caso, un grupo empresarial podrá contratar a un único DPO para todo el grupo, siempre y cuando, sea accesible desde cualquiera de los establecimientos del grupo empresarial.

¿Quién puede ser Delegado de Protección de Datos (DPO)?

El artículo 37. 5 del Reglamento Europeo de Protección de Datos establece:

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

Por tanto, el DPO deberá ser una persona con conocimientos jurídicos (por ejemplo, un abogado) y especializado en el área de protección de datos.

¿Se debe contratar como trabajador al Delegado de Protección de Datos (DPO)?

La respuesta es no. El DPO puede ser contratado como trabajador dentro de la plantilla o ser un externo al que se le contratan unos servicios.

Así lo establece el apartado 6 del artículo 37 del Reglamento Europeo de Protección de Datos:

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

Si tienes alguna consulta y quieres recibir un presupuesto, puedes ponerte en contacto conmigo mediante el siguiente formulario, escribiendo un mail a info@evamunoz.es o por teléfono en el número +34 688.927.365.

Política de privacidad