Soy pyme o autónomo, ¿estoy obligado a disponer de un Delegado de Protección de Datos?

Las pymes Conseguridad y GlovoApp han sido multadas por la Agencia Española de Protección de Datos (AEPD) con 50.000 euros y 25.000 euros respectivamente. El motivo, no disponer de un Delegado de Protección de Datos (DPO, Data Protection Officer en inglés). Se trata de una figura establecida en el Reglamento General de Protección de Datos desde su aprobación definitiva desde el 25 de mayo de 2018. 

La AEPD define el cargo como "uno de los elementos claves del Reglamento General de Protección de Datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control".

Principalemente, el DPO es el responsable de que las empresas cumplan con el tratamiento de datos acorde a lo que marca la ley, además de ser un nexo en este sentido con el organismo competente en la materia, en este caso la AEPD.

Aquellas empresas que no designen un Delegado de Protección de Datos pese a estar obligadas estarán cometiendo una infracción tipificada como 'grave'. Esto puede suponer multas de hasta 10 millones de euros como máximo o de una cuantía del 2% de la facturación anual del ejercicio financiero anterior a la infracción

A pesar de que pueda pensarse que es una figura destinada únicamente a ser implantada por las grandes empresas y organismos públicos, nada más lejos de la realidad. Las pymes y autónomos también pueden estar obligadas a disponer de un Delegado de Protección de Datos en función de la naturaleza de su negocio y el tratamiento de datos que realicen de sus clientes y usuarios.

¿Estoy obligado a tener un Delegado de Protección de Datos?

Nelia Álvarez, abogada del despacho CECA Magán, ahonda en los casos en los que pymes y autónomos deben contar con un DPO. "El Reglamento Europeo de Protección de Datos establece tres situaciones en las que una entidad está obligada a designar un Delegado de Protección de Datos.

Lo estarán si el tratamiento de los datos lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. También cuando las actividades del tratamiento realizadas por el responsable o encargado del tratamiento (la empresa) impliquen una observación habitual y sistemática de interesados a gran escala", declara.

Algunos ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son: las de mercadotecnia basadas en datos; las de elaboración de perfiles así como otorgar puntuación con fines de evaluación (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; perfilado asociado a programas de fidelidad…

Álvarez apunta que "cuando las actividades principales del responsable o encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos (por ejemplo, datos de salud) o de datos personales relativos a condenas e infracciones penales.

Adicionalmente el Reglamento Europeo de Protección de Datos contempla la posibilidad de que los Estados miembros exijan el nombramiento de un Delegado de Protección de Datos en otras situaciones. En España, la Ley Orgánica de Protección de Datos recoge una lista de entidades que, por su naturaleza o sector de actividad, estarían obligadas a designar un Delegado de Protección de Datos".

Aquellas empresas que no designen un Delegado de Protección de Datos pese a estar obligadas estarán cometiendo una infracción tipificada como 'grave'. Esto puede suponer multas de hasta 10 millones de euros como máximo o de una cuantía del 2% de la facturación anual del ejercicio financiero anterior a la infracción. La AEPD seleccionará de estas dos posibilidades la que sea de mayor cuantía de mayor cuantía.

Álvarez recomienda, pese a no existir obligación, la implantación de un Delegado de Protección de Datos. "El respeto de la privacidad, no es sólo una cuestión de cumplimiento normativo, también genera valor para la empresa y confianza en los clientes. Por ello, es conveniente adoptar medidas adicionales de protección de forma voluntaria o proactiva que refuercen y muestren el compromiso de la empresa con la protección de la privacidad", concluye.