El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos, establece las empresas obligadas a tener Delegado de Protección de datos.
¿Qué empresas están obligadas a tener Delegado de Protección de Datos?
En nuestro anterior artículo “Reto 2: ¿Qué es el DPO (Delegado de Protección de Datos)” explicamos en qué consistía esta figura, eje central de las medidas del nuevo Reglamento citado. Pero, ¿es necesario que todas las empresas cuenten con esta figura? ¿Las empresas pequeñas pueden prescindir del DPO?
Para conocer cuáles son las empresas obligadas a tener Delegado de Protección de datos hay que prestar especial atención a los requisitos expuestos en el artículo 37.1 RGPD, que son los siguientes:
- Que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
- Que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala
- Que las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (es decir, datos sensibles: datos de salud, ideología, vida sexual, origen étnico, datos genéticos y datos biométricos dirigidos a identificar de manera unívoca a una persona física) y de datos relativos a condenas e infracciones penales.
¿Y una Pyme?
Una PYME puede venir obligada a designar DPO si se cumplen los requisitos expuestos. Así, la designación del garante del cumplimiento del RGPD no depende únicamente de la estructura de la empresa sino que una empresa pequeña que trate datos sensibles estará obligada a designar DPO.
No obstante, como expusimos en nuestro artículo “Reto 2” la filosofía del RGPD es que las empresas cuenten con esta figura mediante la contratación de organizaciones o personas especialistas que tendrá una implicación menor o mayor en función de las necesidades de cada empresa que ayuden a las empresas a aplicar y cumplir con la legislación y hagan un control periódico del cumplimiento de la normativa.
Si tiene dudas sobre si su empresa debe contar con un DPO no dude en contactar con AURIS ADVOCATS.
Xavi Saula
Abogado – Socio Auris Advocats
DPO-Especializado en Protección de Datos
y adaptación al nuevo RGPD