Consulte el PDF
Recientemente se ha dado a conocer la primera sanción impuesta a una empresa española por haber infringido la obligación de designar a un delegado de protección de datos (en adelante, “DPO”), con arreglo a lo establecido en el art. 37 del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El citado art. 37 impone al responsable y encargado del tratamiento la obligación de designar a un DPO siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o;
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
En este sentido, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su art. 34, sin perjuicio de lo dispuesto en el Reglamento, una serie de entidades que deben disponer obligatoriamente de un DPO.
En cuanto al perfil más idóneo para ocupar el cargo de DPO, el propio art. 37.5 del Reglamento dispone que este será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como a su capacidad para desempeñar las funciones que le corresponden (art. 39 del Reglamento).
Por otro lado, la normativa permite que la función de DPO sea ejercida por un miembro interno a la empresa o bien se externalice a un tercero en el marco de un contrato de prestación de servicios, permitiendo además que dicha función la desempeñe una persona jurídica.
El DPO actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos (AEPD) y las autoridades autonómicas de protección de datos. Cuando se trate de una persona física integrada en la organización, el DPO no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará asimismo su independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
Esta primera sanción impuesta a una empresa por no haber designado la figura de DPO constituye un claro punto de partida en la verificación, por parte de la Agencia Española de Protección de Datos, del efectivo cumplimiento de la presente obligación. Conviene igualmente recordar que la sanción por no designar un DPO puede ser una multa que ascienda hasta los 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente como máximo al 2% del volumen de negocio total anual del ejercicio anterior.
Por todo lo expuesto, desde el departamento de Protección de Datos de ESCURA recordamos a las empresas de la importancia de determinar si estas deben contar con la figura del DPO y, en su caso, proceder a su designación con arreglo a los establecido en la normativa legal de referencia.
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.