Primeras sanciones por no disponer de un Delegado de Protección de Datos

Primeras sanciones por no disponer de un Delegado de Protección de Datos

Manuel Alonso, Socio Área Digital Business | [email protected]
21/01/2021
Primeras sanciones por no disponer de un Delegado de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha impuesto las primeras sanciones por no tener designado un Delegado de Protección de Datos (DPD):

 

Empresa de seguridad privada:

50.000€

PS/00251/2020

Empresa que trata datos a gran escala:

25.000€

PS/00417/2019

 

Administraciones públicas:

Apercibimiento

Varias

 

 

Desde Digital Business acompañamos a nuestros clientes en todo el proceso de análisis de necesidad y designación de un DPD para evitar los riesgos asociados al incumplimiento de la normativa de protección de datos, incluyendo la opción de actuar como DPD externo o prestar distintas opciones de soporte.

¿Quién necesita un Delegado de Protección de Datos?

Según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) existen organizaciones que deben designar un DPD de forma obligatoria, como por ejemplo, en determinadas circunstancias:

  • CENTROS SANITARIOS
  • OPERADORES DE JUEGO ONLINE
  • CENTROS DOCENTES Y UNIVERSIDADES
  • COLEGIOS PROFESIONALES y sus consejos generales
  • FEDERACIONES DEPORTIVAS cuando traten datos de menores
  • EMPRESAS DE SEGURIDAD PRIVADA Y ASEGURADORAS
  • PRESTADORES DE LA SOCIEDAD DE LA INFORMACIÓN
  • ENTIDADES CON ACTIVIDADES PUBLICITARIAS
  • ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO
  • EMPRESAS DE SERVICIOS DE INVERSIÓN
  • ENTIDADES RESPONSABLES DE FICHEROS COMUNES

Requisitos para ser un DPD

  • Debe reunir conocimientos especializados en Derecho y la práctica en materia de protección de datos.
  • Debe desempeñar sus tareas y funciones con total independencia sin que pueda haber lugar a conflicto de intereses.
  • Debe tener acceso a los recursos necesarios para el desempeño de sus funciones y en especial el acceso a los datos personales y a las operaciones de tratamiento.
  • Debe rendir cuentas directamente al más alto nivel jerárquico.
  • Debe estar disponible y ser accesible para comunicarse con los interesados y estar en condiciones de cooperar con las autoridades de control.

Tipos de DPD

  • DPD Interno: miembro de la plantilla que pueda actuar con independencia.
  • DPD Externo: externalización de los servicios en el marco de un contrato de prestación de servicios.

¿Qué funciones tiene un DPD?

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones de la normativa aplicable en protección de datos.
  • Supervisar el cumplimiento de la normativa y políticas de protección de datos, incluida la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  • Comunicarse eficazmente con los interesados del tratamiento y cooperar con las autoridades de control.
  • Actuar como punto de contacto con la AEPD para realizar consultas relativas al tratamiento.

Para aquellos casos en que no sea necesario designar un DPD:

  • Las entidades pueden hacerlo con carácter voluntario para demostrar una responsabilidad proactiva.
  • Es recomendable documentar un análisis de necesidad de DPD a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes.
  • Será igualmente recomendable disponer de personal cualificado o asesores externos que puedan garantizar el cumplimiento de la seguridad de la información y el cumplimiento normativo, que puede ser agrupado en forma de Comité de Seguridad designado por la dirección general de la organización.

 

#TimetogoDigital