Supuestos de obligación de nombramiento del delegado de protección de datos (DPD) en el RGPD y en la LOPDGDD
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
Atendidos los requisitos para la designación de un DPD, el artículo 37 del RGPD recoge la obligación de esa designación por el responsable o encargado del tratamiento de manera obligatoria cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público, a excepción de los tribunales que actúen en ejercicio de su función judicial. En el concepto de autoridad u organismo público se incluirán, o así lo hace el Grupo de Trabajo del artículo 29, las autoridades nacionales, regionales y locales.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 del RGPD (que revelen origen étnico o racial, opiniones públicas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, sobre la salud, vida sexual u orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.
Como se puede apreciar, al margen de los tratamientos que realicen los organismos públicos, los dos condicionantes que deben concurrir para que sea obligatorio el nombramiento es que las operaciones proyecten un volumen masivo de datos o de interesados en su observancia. Evidentemente, se trata de un concepto muy amplio que debiera ser acotado por la legislación.
Destacar el inciso de tal precepto, al requerir una observación habitual y sistemática de interesados a gran escala. Cabe traer la interpretación que el Grupo de Trabajo del artículo 29 hace al respecto, siendo «habitual» algo continuado, recurrente, constante o periódico, y «sistemático» aquello que se produce de acuerdo con un sistema, que está preestablecido u organizado, que tiene lugar como parte de un plan general de recogida de datos o que se lleva a cabo como parte de una estrategia.
Asimismo, habla el RGPD de tratamiento a gran escala. Respecto a esta apreciación, el considerando (91) del RGPD suscribe que se refiere al tratamiento de una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que pueden afectar a un gran número de interesados y entrañar probablemente un alto riesgo para los derechos y libertades de los interesados. Así mismo, el referenciado Grupo de Trabajo determina que para considerar un tratamiento a gran escala debe tenerse en cuenta:
- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
- La duración, o permanencia, de la actividad de tratamiento de datos.
- El alcance geográfico de la actividad de tratamiento.
Fuera de estos casos, el artículo 34, apartado 2, de la LOPDGDD dispone que el responsable o encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados pueden designar un DPD o lo designarán si el derecho de la Unión Europea o su norma nacional así lo exige.
CUESTIÓN
El artículo 37, apartado 1 b) y c), del RGPD habla de un tipo de actividades principales del responsable o encargado, pero ¿a qué se refiere con actividades principales?
El Grupo de Trabajo del artículo 29 razona que las actividades principales pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento, pero no deben interpretarse como excluyentes cuando el tratamiento de los datos sea parte indisociable de la actividad del responsable o encargado del tratamiento.
Añade ejemplos muy ilustrativos:
- La actividad principal de un hospital es prestar atención sanitaria, pero esta atención sanitaria requiere, para su buena ejecución, tratar datos relativos a la salud y con ello acceder a las historias clínicas de los pacientes.
- Una empresa de seguridad lleva la vigilancia de centros comerciales privados o de espacios públicos. Tal actividad conlleva, inevitablemente, el tratamiento de datos personales.
Supuestos específicos de designación de un delegado de protección de datosDesarrollando la norma europea y concretando lo recogido en el artículo 37 del RGPD, la LOPDGDD contempla en su artículo 34 que los responsables y encargados del tratamiento también deben designar un DPD cuando se trate de las siguientes entidades:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas que traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito. En tal norma, se hace referencia a las entidades de crédito y estas serán los bancos, cajas de ahorros, cooperativos de crédito, Instituto de Crédito Oficial.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Fuera de estos supuestos, la designación del DPD no dejará de ser correcta, simplemente obedecerá a otros criterios como son la proactividad e incremento del cumplimiento normativo por parte de la empresa y estará amparado por el artículo 37, apartado 2, de la LOPDGDD.
A TENER EN CUENTA. El incumplimiento de la obligación de designar un DPD, dentro de los supuestos de este artículo 34 de la LOPDGDD y 37 del RGPD, es condenado como infracción grave a tenor de lo dispuesto en el artículo 73, letra v) de la LOPDGDD.
CUESTIONES
1. Un despacho de abogados ¿está obligado a nombrar un DPD?
Para responder a esta cuestión hay que tener en cuenta más de un elemento. En efecto, pudiera enmarcarse este tipo de entidades en el tercer condicionante indicado en el RGPD, por el tratamiento de categorías especiales de datos y datos relativos a condenas e infracciones penales. Sin embargo, se requiere que dicho tratamiento se realice a gran escala. Por esta razón, lo que se debe valorar es el tamaño de la entidad, el alcance territorial de sus tratamientos y el volumen de interesados de los que manejan datos.
Por esta razón, atendiendo a la estructura de la empresa, podemos afirmar que, si se trata de un despacho común, unipersonal o con pocos socios y de pequeño volumen, no necesitará nombrar DPD. De todos modos, toda vez que el colegio de abogados haga su emplazamiento deberá nombrarlo, sería interesante hacer expansivo sus servicios al despacho.
Consultar Directrices sobre los delegados de protección de datos del Grupo de Trabajo sobre protección de datos del artículo 29.
2. Una consulta médica ¿está obligada a nombrar un DPD?
Al igual que ocurre en el ámbito del ejercicio de la abogacía, es cierto que los datos que se manejan en una consulta médica revisten la categoría de especial sensibilidad y podrían enmarcarse dentro de un ámbito especialmente protegido. Sin embargo, si la consulta médica está compuesta por un solo profesional, no será obligatorio su nombramiento.
En caso de configurarse en torno a una clínica con pluralidad de profesionales, se debe valorar si las operaciones de tratamiento que realizan entrañan alto riesgo para los derechos y libertades de los interesados. En caso afirmativo, deberá designarse un DPD.
Consultar Directrices sobre los delegados de protección de datos del Grupo de Trabajo sobre protección de datos del artículo 29.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
Ley 10/2014 de 26 de Jun (Ordenación, supervisión y solvencia de entidades de crédito) VIGENTE
Boletín: Boletín Oficial del Estado Número: 156 Fecha de Publicación: 27/06/2014 Fecha de entrada en vigor: 28/06/2014 Órgano Emisor: Jefatura Del Estado
- ANEXO. Lista de actividades objeto de reconocimiento mutuo
- D.F. 14ª. Entrada en vigor.
- D.F. 13ª. Desarrollo reglamentario.
- D.F. 10ª. Modificación de la Ley 26/2013, de 27 de diciembre, de cajas de ahorros y fundaciones bancarias.
- D.F. 9ª. Modificación del Real Decreto-ley 16/2011, de 14 de octubre, por el que se crea el Fondo de Garantía de Depósitos de Entidades de Crédito.
-
Sentencia Supranacional Nº C-534/20, TJUE, 22-06-2022
Orden: Supranacional Fecha: 22/06/2022 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-534/20
-
Sentencia SOCIAL Nº 603/2020, TSJ Canarias, Sala de lo Social, Sec. 1, Rec 8/2020, 30-06-2020
Orden: Social Fecha: 30/06/2020 Tribunal: Tsj Canarias Ponente: Rodriguez Castro, Carmen Maria Num. Sentencia: 603/2020 Num. Recurso: 8/2020
-
Sentencia Supranacional TJUE, 06-12-2021
Orden: Supranacional Fecha: 06/12/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional TJUE, 24-01-2022
Orden: Supranacional Fecha: 24/01/2022 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional TJUE, 25-01-2021
Orden: Supranacional Fecha: 25/01/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
El delegado de protección de datos en las comunidades de propietarios
Orden: Administrativo Fecha última revisión: 08/07/2021
Las comunidades de propietarios no tienen que designar un DPD. No obstante, y como siempre se repite en materia de protección de datos, puede designarse libremente atendiendo a criterios meramente de proactividad y predisposición por el encargado...
-
¿Es necesario un DPD en un despacho de abogados o procuradores?
Orden: Administrativo Fecha última revisión: 15/02/2022
«1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judici...
-
Obligaciones de las redes sociales respecto de datos de menores de edad
Orden: Administrativo Fecha última revisión: 06/10/2021
El responsable y encargado del tratamiento respecto de datos de menores de edad deberán cumplir con lo previsto en el artículo 28 de la LOPDGDD.Obligaciones generales del responsable y del encargado del tratamiento respecto de datos de menores de e...
-
Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD
Orden: Administrativo Fecha última revisión: 31/05/2021
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...
-
Funciones y posición del delegado de protección de datos (DPD) en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
Las funciones del delegado de protección de datos y su posición se regulan en los artículos 38 y 39 RGPD, así como en el artículo 36 y 37 de la LOPDGDD. C¿Cuáles son las funciones del delegado de protección de datos?Partiendo de lo dispue...
-
Modelo de contrato de encargo de tratamiento entre dos abogados
Fecha última revisión: 20/05/2021
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCERODe una parte, [NOMBRE] (en adelante, RESPONSABLE del tratamiento), con domicilio profesional en la calle [CALLE], con DNI [DNI], que comparece en su propio nombre y representación.Y de...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO] Teléfono: [NÚM_TLF] - Correo electrónico: [CORREO_ELECTRÓNICO]Dirección postal: [DOMICILIO]Delegado de protección de datos: (1)Asunto: CLÁUSULA DE CONSENTIMIENTO CON TRANSFERENCIA INTERNACIONAL D...
-
Modelo oficial de registro de actividades del RGPD
Fecha última revisión: 07/07/2021
REGISTRO DE ACTIVIDADES DE TRATAMIENTOResponsable del tratamiento (Comunidad de Propietarios) Encargado del tratamiento (Administrador de Fincas)Nombre y datos de contacto del responsable (o representante)Nombre y datos de contacto del encargado (o ...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 26/01/2022
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
Caso práctico: Retirada de contenidos de internet relacionados con violencia de género o menores
Fecha última revisión: 07/06/2022
-
Caso práctico: ¿Es necesario el consentimiento de los interesados (estudiantes y profesores) para clases y exámenes online?
Fecha última revisión: 07/06/2022
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación...
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
PLANTEAMIENTOSe plantea cómo retirar imágenes relacionadas con un episodio de violencia de género cuya difusión en redes sociales no ha sido autorizada.RESPUESTALa imagen es un dato personal [artículo 4, punto 14, del Reglamento (UE) 2016/679 ...
PLANTEAMIENTOUna persona que, en principio, asiste en modalidad presencial a unas clases universitarias se pregunta si, desde la perspectiva de la protección de datos, se pueden dar estas clases y hacer los exámenes en modalidad online sin que medi...
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de 14 de marzo de 2017, de la Dirección General de los Registros y del Notariado, por la que se publica la encomienda de gestión a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, para la prestación de servicios técnicos aplicables a la digitalización electrónica y grabación de datos.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 02/06/2017
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013