Tras la reciente decisión de 10 de junio de 2020 de la Agencia Española de Protección de Datos (AEPD) que supuso la primera sanción impuesta en España a una compañía por no tener designado un delegado de protección de datos (DPO), muchas organizaciones se preguntan si están incurriendo en un riesgo similar. 

Hay que tener en cuenta que, aunque la cuantía de esta sanción no ha sido muy elevada (i.e. 25.000 euros), el hecho de haber infringido la normativa vigente de protección de datos convierte automáticamente a un operador en reincidente en un procedimiento sancionador posterior. Por tanto, ante un nuevo incumplimiento, al riesgo de sanción se suma la posibilidad de sufrir la imposición de un agravante (que aumenta el importe de dicha sanción). Además, en todo caso, al tener carácter público la decisión sancionadora, las compañías infractoras asumen un riesgo reputacional que puede repercutir en su negocio, pues tanto clientes como administraciones públicas exigen, cada vez más, garantías del pleno cumplimiento de las normas de protección de datos con carácter previo a cualquier contratación con el fin de evitar la transmisión de cualquier riesgo legal. 

Resulta preciso señalar que la figura del DPO es novedosa, ya que ha sido creada por el Reglamento General Protección de Datos (RGPD), que entró en aplicación en mayo del año 2018. Por ello, es una figura que puede pasar desapercibida, si bien está alcanzado una importancia creciente a medida que se incrementan los modelos de negocio basados en datos. 

El DPO es, en gran medida, la persona encargada de supervisar el cumplimiento de la normativa de protección de datos en el seno de su organización, analizado todos los proyectos, tecnologías y sistemas que impliquen el tratamiento de datos personales. Por ello, a pesar de ejercer un rol interno de cara a la empresa, es importante garantizar su plena independencia y libertad. Además, el DPO también se encarga de responder y atender las peticiones y solicitudes de los interesados, y de ejercer de enlace con la autoridad de control correspondiente. Por todos estos motivos, es imprescindible que el DPO cuente con conocimientos avanzados en materia de protección de datos.

Por otro lado, cabe anotar que la designación de un DPO no resulta obligatoria para todas las empresas, si bien sí es recomendable contar con un DPO en toda organización que trate un volumen considerable de datos personales, a fin de garantizar un correcto tratamiento de la información personal en el seno de la organización. 

Con carácter general, el RGPD establece dos grandes grupos de obligados cuya interpretación es abierta:

• Organizaciones cuyas actividades principales de negocio impliquen el tratamiento de datos sensibles, a gran escala o impliquen la supervisión regular y sistemática a gran escala de las personas.
• Autoridades u organismos públicos, excepto los tribunales.

En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales (LOPDGDD), especifica que, dentro de esas grandes categorías, en todo caso, las entidades que se encuentren en determinados sectores tasados sí estarán obligadas. Sin ser exhaustivos resumimos estos casos tasados: 

• Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. (Se trata de educación regulada siempre - no centros con títulos propios o privados que no tengan reconocimiento oficial).
• Entidades de Crédito y establecimientos financieros de crédito.
• Entidades aseguradoras y reaseguradoras.
• Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Entidades que exploten redes y presten servicios de comunicación electrónica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
• Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Federaciones deportivas cuando traten datos de menores de edad.
• Colegios profesionales y sus consejos generales.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, excepto los profesionales de la salud que ejerzan a título individual. 

Si bien se agradece la labor de concreción de la LOPDGDD, determinar si una compañía se encuentra en alguno de estos supuestos, también puede requerir cierta labor de interpretación de conceptos jurídicos indeterminados, tales como “tratamiento de datos a gran escala” o “elaboración de perfiles de usuarios”, lo que hace recomendable contar con asesoramiento jurídico especializado.

El Área de Privacy, IT & Digital Business de Andersen cuenta con un equipo altamente especializado y cualificado en materia de protección de datos y en servicios de asesoramiento en las funciones de DPO o de soporte al DPO designado, bajo las máximas de excelencia, compromiso, responsabilidad y profesionalidad.

Puede descargar el documento completo desde aquí.

Para más información sobre nuestros servicios, puede contactar con: 

Isabel Martínez Moriel

isabel.martinez@es.andersen.com