Està la seva empresa obligada a tenir un DPD segons el RGPD?

El Reglament General de Protecció de Dades (UE) 2016/679 (RGPD) de la Unió Europea (article 37) i Llei Orgànica 3/2018 de Protecció de Dades Personals i Garantia dels Drets Digitals, (article 34) recullen les entitats que estan OBLIGADES a comptar amb un delegat de protecció de dades (DPD), considerant-se infracció greu “… l’incompliment de l’obligació de designar un delegat de protecció de dades en totes les qüestions relatives a la protecció de les dades personals …” (ARTICLE 73v ).

Aquesta infracció pot estar sancionada segons l’article 83. 4 de l’RGPD amb multa de fins a 20 milions d’Euros o d’una quantia equivalent al 2% com a màxim del volum total de negoci anual de l’exercici financer anterior, optant per la de major quantia.

Quines empreses estàn obligades?

L’ article 34 de la LOPD i GDD estableix aquesta relació d’entitats subjectes a l’obligatorietat de comptar amb DPD:

1. Els responsables i encarregats del tractament hauran de designar un delegat de protecció de dades en els casos que preveu l’article 37.1 del Reglament (UE) 2016/679 i, en tot cas, quan es tracti de les següents entitats:
   1. Els col·legis professionals i els seus consells generals.
   2. Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l’educació, així com les universitats públiques i privades.
   3. Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques d’acord amb el que disposa la seva legislació específica, quan tractin habitual i sistemàticament dades personals a gran escala.
   4. Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
   5. Les entitats incloses a l’article 1 de la Llei 10/2014, de 26 de juny, d’ordenació, supervisió i solvència d’entitats de crèdit.
   6. Els establiments financers de crèdit.
   7. Les entitats asseguradores i reasseguradores.
   8. Les empreses de serveis d’inversió, regulades per la legislació del mercat de valors.
   9. Els distribuïdors i comercialitzadors d’energia elèctrica i els distribuïdors i comercialitzadors de gas natural.
   10. Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
   11. Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les d’investigació comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils dels mateixos.
   12. Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients. S’exceptuen els professionals de la salut que, tot i estar legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.
   13. Les entitats que tinguin com un dels seus objectes l’emissió d’informes comercials que puguin referir-se a persones físiques.
   14. Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, d’acord amb la normativa de regulació del joc.
   15. Les empreses de seguretat privada.
   16. Les federacions esportives quan tractin dades de menors d’edat.
2. Els responsables o encarregats del tractament no inclosos en el paràgraf anterior podran designar de manera voluntària un delegat de protecció de dades, que quedarà sotmès al règim que estableix el Reglament (UE) 2016/679 i en la present llei orgànica.
3. Els responsables i encarregats del tractament han de comunicar en el termini de deu dies a l’Agència Espanyola de Protecció de Dades o, si s’escau, a les autoritats autonòmiques de protecció de dades, les designacions, nomenaments i cessaments dels delegats de protecció de dades tant en els supòsits en què es trobin obligades a la seva designació com en el cas en que sigui voluntària.
4. L’Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades mantindran, en l’àmbit de les respectives competències, una llista actualitzada de delegats de protecció de dades que serà accessible per mitjans electrònics.
5. En el compliment de les obligacions d’aquest article els responsables i encarregats del tractament podran establir la dedicació completa o a temps parcial del delegat, entre altres criteris, en funció del volum dels tractaments, la categoria especial de les dades tractades o dels riscos per els drets o llibertats dels interessats.

Sancions per incompliment

L’ article 73 de la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals, en funció del que estableix l’article 83.4 del Reglament (UE) 2016/679 considera greu i prescriu als dos anys les infraccions que suposin una vulneració substancial dels articles esmentats en aquell i, en particular, en alguns casos.

L’ apartat V considera infracció greu “l’incompliment de l’obligació de designar un delegat de protecció de dades quan sigui exigible el seu nomenament d’acord amb l’article 37 del Reglament (UE) 2016/679 i l’article 34 d’aquesta Llei orgànica.”

Segons l’article 83.4 del RGPD (UE) 2016/679 aquest incompliment podria establir “multes administratives de 20.000.000 € com a màxim o, tractant-se d’una empresa, d’una quantia equivalent al 2% com a màxim del volum de negoci total anual global del exercici financer anterior, optant per la de major quantia “.

Altres obligacions

L’ article 37 del RGPD (UE) 2016/679, estableix que:

1. El responsable i l’encarregat del tractament de designar un delegat de protecció de dades sempre que:
   1. el tractament el porti a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial;
   2. les activitats principals del responsable o de l’encarregat consisteixin en operacions de tractament que, per raó de la seva naturalesa, abast i / o fins, requereixin una observació habitual i sistemàtica d’interessats a gran escala, o
   3. les activitats principals del responsable o de l’encarregat consisteixin en el tractament a gran escala de categories especials de dades personals d’acord amb l’article 9 i de dades relatives a condemnes i infraccions penals a què es refereix l’article 10.
2. Un grup empresarial podrà nomenar un únic delegat de protecció de dades sempre que sigui fàcilment accessible des de cada establiment.
3. Quan el responsable o l’encarregat del tractament sigui una autoritat o organisme públic, es podrà designar un únic delegat de protecció de dades per a diverses d’aquestes autoritats o organismes, tenint en compte la seva estructura organitzativa i grandària.
4. En casos diferents dels previstos en l’apartat 1, el responsable o l’encarregat del tractament o les associacions i altres organismes que representin categories de responsables o encarregats podran designar un delegat de protecció de dades o hauran designar-si així ho exigeix ​​el Dret de la Unió o dels estats membres. El delegat de protecció de dades podrà actuar per compte d’aquestes associacions i altres organismes que representin responsables o encarregats.
5. El delegat de protecció de dades serà designat atenent les seves qualitats professionals i, en particular, als seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades i la seva capacitat per exercir les funcions indicades en l’article 39.
6. El delegat de protecció de dades podrà formar part de la plantilla del responsable o de l’encarregat del tractament o exercir les seves funcions en el marc d’un contracte de serveis.
7. El responsable o l’encarregat del tractament publicaran les dades de contacte del delegat de protecció de dades i els comunicaran a l’autoritat de control.