En apenas 6 meses el Nuevo Reglamento de Protección de Datos estará presente en todas las empresas y, a día de hoy, son muchas las dudas y las consultas que recibimos a diario sobre el mismo. En este artículo, queremos centrarnos en diferenciar la figura del Delegado de Protección de Datos (DPO), el Encargado de Tratamiento, el Responsable del Tratamiento y el Responsable de Privacidad.

El Responsable del Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal. Por ejemplo: EMPRESA, S.L.

El Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del Tratamiento. Por ejemplo: INFORMÁTICA, S.L. (Empresa que se encarga del mantenimiento informático de EMPRESA, S.L.).

El Responsable de Privacidad es la persona que trabaja en la empresa y que, aparte de su cargo, también es designada para coordinar todos los aspectos relacionados con la adecuación de las actuaciones de la entidad en materia de Protección de Datos. Por ejemplo: Luís Fernández (Empleado de EMPRESA, S.L.).

En cuanto al Delegado de Protección de Datos...¿Quién es y qué hace?

El conocido como DPO es un profesional con conocimientos especializados de la normativa y práctica en materia de protección de datos. Sus funciones consisten en ayudar al responsable o al Encargado de Tratamiento. Puede ser interno o externo, y debe estar en condiciones de desempeñar sus funciones de manera independiente. Una vez nombrado, hay que comunicar sus datos a la Agencia Española de Protección de Datos (AGPD).. Es concretamente esta figura la que, por ser la novedad del Reglamento Europeo de Protección de Datos, está siendo la más cuestionada y, por ello, la analizaremos con mayor detalle.

EL DPO no es obligatorio para todas las empresas. Su obligatoriedad es necesaria en 3 supuestos concretos: cuando el tratamiento lo lleva a cabo una Autoridad u Organismo Público; en segundo lugar, si las actividades principales del responsable o el Encargado de Tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala y, en tercer lugar, cuando las actividades principales del responsable o el Encargado de Tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

Llegados a este punto, las empresas que necesitan DPO son:

• • Los colegios profesionales y sus consejos generales
• • Los centros docentes
• • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, incluyéndose las compañías telefónicas y los proveedores de acceso a internet
• • Los prestadores de servicios de la sociedad de la Información destacando los operadores de telecomunicaciones, proveedores de acceso a internet, los portales, motores de búsqueda y cualquier sujeto que disponga de un sitio en internet
• • Las entidades de crédito, incluyendo los bancos, cajas de ahorro, cooperativas de crédito y el instituto de crédito oficial
• • Los establecimientos financieros de crédito y aquellas empresas que, sin tener la consideración de entidad de crédito y previa autorización del ministerio de Economía y Competitividad, se dediquen con carácter profesional a la concesión de préstamos y créditos, el arrendamiento financiero o la concesión de avales y garantías.
• • Las entidades aseguradoras y reaseguradoras
• • Las empresas de servicios de inversión como las sociedades de valores, las agencias de valores, las sociedades gestoras de carteras y las empresas de asesoramiento financiero
• • Los distribuidores y comercializadores de energía eléctrica y de gas natural
• • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito de los ficheros comunes para la gestión y prevención del fraude incluyendo a los responsables de los ficheros regulados por la Ley de Prevención del Blanqueo de Capitales y Financiación del Terrorismo
• • Las entidades que desarrollen actividades de publicidad y prospección comercial, es decir aquellas empresas de investigación comercial y de Mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos
• • Los centros sanitarios
• • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas
• • Los operadores que desarrollen la actividad de juego, siempre que la actividad se realice través de canales electrónicos, informáticos, telemáticos e interactivos
• • Quienes desempeñen las actividades de seguridad privada, incluidos los vigilantes de seguridad y su especialidad de vigilantes de explosivos, los escoltas privados, los guardas rurales y su especialidad de guardas de caza y guardapescas marítimos, los jefes de seguridad, los directores de seguridad y los detectives privados
• • Designación voluntaria por parte de la empresa

Por último, los Responsables y Encargados de Tratamiento, comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los Delegados de Protección de Datos, tanto en los supuestos en que se encuentre la empresa obligada como en el caso en que la designación sea voluntaria.

Fuente: CISS ContableMercantil

Autor: Vanesa González