¿Es obligatorio que todas las PYMES dispongan de un Delegado de Protección de datos personales?
18 de octubre de 2018
¿Es obligatorio que todas las PYMES dispongan de un Delegado de Protección de datos personales?
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos, impone a las empresas la necesidad de nombrar un Delegado de Protección de datos, si en ellas concurren determinados requisitos.
Desde el pasado mes de mayo, es plenamente aplicable en España el Reglamento (UE) 2016/679, de 27 de abril de 2016, impone a las empresas la necesidad de nombrar un Delegado de Protección de datos, siempre que en ellas concurran determinados requisitos. Estos son:
a) que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) que las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (Esto es, tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.), y de datos relativos a condenas e infracciones penales.
En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
Por otro lado, un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. Y cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
Por tanto, no será obligatorio su designación en todos los casos. Las empresas (PYMES) estarán obligadas a designar un Delegado de Protección de Datos en tanto que gestionen a gran escala datos de categoría especialmente sensibles, o si en su actividad concurren ciertas circunstancias que bien se especifican en el artículo 37.1 del Reglamento Europeo.
¿Qué entendemos por Delegado de Protección de Datos?
El Delegado de Protección de Datos (en adelante DPD), puede decirse, salvando las distancias, que se coloca en una posición de “Policía”, cuya función primordial es verificar y hacer cumplir las disposiciones y nuevas exigencias que desde Europa se pretende en esta materia. Con carácter general, podría decirse que sus funciones son: control, supervisión y coordinación en el cumplimiento del reglamento. De forma más detallada tendrá, sin que suponga un “numerus clausus” o relación cerrada, las siguientes:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.
El DPD podrá desempeñar otras funciones y cometidos, siendo el responsable o encargado del tratamiento el que garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses. Además, el DPD no podrá recibir ninguna instrucción en lo que respecta a sus funciones, ni podrá ser destituido ni sancionado por el responsable o encargado en el desempeño de sus funciones. Lo que sí tendrá que hacer, es rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado.
Cualquier interesado podrá ponerse en contacto con el DPD en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento. Con ello, estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
¿Quién designa el Delegado de Protección de Datos?
La designación del DPD, se realizará por el responsable y el encargado del tratamiento que garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Tendrán que respaldarlo en el desempeño de sus funciones, facilitándole los recursos necesarios para el desempeño de las mismas y el acceso a los datos personales y a las operaciones de tratamiento, así como para el mantenimiento de sus conocimientos especializados.
El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones.
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
El responsable o el encargado del tratamiento publicará los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.