¿Es obligatorio tener DPO?

La semana pasada publicamos un artículo sobre qué es el Delegado de Protección de Datos (DPO). Hoy resolveremos más dudas acerca de esta figura y sobretodo determinaremos si es obligatorio tener DPO y en qué casos es recomendable:

¿Es obligatorio tener DPO?

Implantar esta figura no es obligatorio para todas las empresas. El RGPD establece que será obligatorio tenerlo cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o las actividades principales del responsable o del encargado consistan en el tratamiento de categorías especiales de datos personales.

De la lectura de este artículo es complicado saber cuándo es obligatorio. ¿Qué significa a Gran Escala? ¿Qué significan categorías especiales de datos?

Está claro que empresas que cuenten con una determinada estructura, o bien traten datos sensibles (datos de salud, ideología, vida sexual), o bien cuenten (aun siendo pequeñas) con bases de datos con multitud de contactos, necesitarán nombrar y ser acompañados por un DPO.

Sin embargo, en otras ocasiones será complicado determinar dónde está el límite que nos permite obviar esta obligación.

El artículo 34 de la LOPDGDD establece, además un listado de tipología de empresas que sí deberán tener DPO designado.

Si no estoy obligado ¿Es recomendable tener DPO?

Sin ningún tipo de duda, empresas que no tengan DPO pero traten determinado tipo de datos, o aquellas que sean Encargadas de Tratamiento de sus clientes, deberían tener DPO, o cuanto menos contar con un asesor o profesional que realice un seguimiento del cumplimiento y la mayoría de las funciones que realizaría un DPO.

En la práctica, muchas empresas nos contactan porque sus clientes les exigen que indiquen quién es su DPO. Y aunque les digan que no tienen porque no están obligados, los clientes les exigen que tengan un DPO desde el momento en que serán sus Encargados de tratamiento.

De hecho, la LOPDGDD prevé la figura del DPO voluntario, en su artículo 34 apartado 2: Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

Lo que está claro que la filosofía de la nueva normativa Europea, y la actual norma estatal, es la de implantar este mecanismo en todas las empresas, mediante la contratación de organizaciones o personas especialistas que, en mayor o menor medida y en función de las necesidades de cada empresa, controlen periódicamente el cumplimiento de la normativa, y orienten, auditen, ayuden y den tranquilidad al empresario de que lo está haciendo bien.

Esto deriva de la filosofía de que la protección de datos es una obligación que debe cumplirse desde el diseño y por defecto, es algo que debe seguirse, y cuanto más acreditamos que hacemos estos controles periódicos, y que controlamos el cumplimiento, más fácil es que nos libremos de una eventual sanción.

XAVI-saula-

Xavi Saula

Abogado – Socio de Auris Advocats

DPO-Especializado en Protección de Datos y adaptación al nuevo RGPD