La Agencia Española de Protección de Datos (AEPD) ha abierto un canal para que las empresas y las Administraciones Públicas puedan comunicarle eletrónicamente la designación de su delegado de protección de datos (DPO), un requisito que aparece contenido en el Reglamento General de Protección de Datos (RGPD), que será de plena aplicación el próximo 25 de mayo.
La comunicación de los DPO es un asunto que preocupa en la AEPD. De hecho, su directora, Mar España, trasladó recientemente que el número de profesionales que han sido notificados a la Agencia es prácticamente insignificante (apenas varias decenas).
El DPO es figura obligatoria para organizaciones que traten datos personales de forma intensiva o datos sensibles a gran escala, así como para organismos públicos. El RGPD recoge que los responsables o encargados del tratamiento deben publicar los datos de contacto de los delegados y comunicar su designación a la autoridad de control, una comunicación que debe producirse con anterioridad al 25 de mayo.
El nuevo procedimiento para la comunicación del DPO es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas. Este sistema de notificación electrónica no se circunscribe únicamente a las Administraciones Públicas y las entidades privadas obligadas. Las empresas que aunque no estén obligadas a su designación pero quieran implantar esta figura, pueden utilizar también este canal.
¿Recordamos que empresas u organismos deben tener un DPO?
Tratamiento a gran escala: es un tipo de tratamiento que persigue tratar una cantidad considerable de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos.
Tratamiento habitual y sistemático: es que el tratamiento se lleve a cabo haciendo un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de datos.
Condenas e infracciones penales: son datos relativos a condenas e infracciones penales o medidas de seguridad afines, llevadas a cabo bajo la supervisión de autoridades públicas.
El Reglamento, también enumera otros motivos (no obligatorios) por los que recomiendan la designación del DPO:
- Complejidad legal creciente de los tratamientos de datos personales como p.e. transferencias internacionales.
- Mayor concienciación de los interesados sobre sus derechos y la manera de cómo proteger sus datos personales.
- La protección de la privacidad de los clientes.
- Las sanciones que pueden recaer sobre la empresa en caso de incumplimiento.
Ejemplo: Algunas de las empresas que necesitaran contratar a un DPO son: centros docentes, empresas de seguridad privada, centros sanitarios, compañías de seguros, empresas de prestación de servicios de comunicaciones electrónicas y de la sociedad de la información, algunos colegios profesionales, entidades financieras, empresas de inversión, distribuidores y comercializadores de suministros energéticos, etc.
