Logo 7Experts
Contáctanos
Contáctanos
¿Hablamos?

¿Cuándo es obligatorio el Delegado de Protección de Datos (DPO)?

Consultoria Protección de Datos
¿Sabías que la obligación de contar con un Delegado de Protección de Datos (DPO) no depende del tamaño de tu empresa, sino del tipo de datos que manejas? Desde centros sanitarios hasta empresas de seguridad privada, diversos sectores deben cumplir con esta normativa. Descubre si tu empresa está obligada a tener un DPO y cómo cumplir con la normativa sin necesidad de aumentar tu plantilla.
Índice de contenidos
Solicita información para tu empresa

La obligatoriedad del DPO: Mucho más que el tamaño de tu empresa 

Muchos empresarios creen, erróneamente, que su volumen de empleados les exime de tener un Delegado de Protección de Datos. Sin embargo, la ley española (LOPDGDD) y la europea (RGPD) son tajantes: la obligación no nace del tamaño de la empresa, sino del riesgo y la naturaleza de los datos que tratas.

Tu entidad custodia un activo crítico. Si tu actividad implica tratamientos masivos o datos sensibles, contar con esta figura es imperativo legal. Ignorar esta realidad es una temeridad frente a la Agencia Española de Protección de Datos (AEPD).

Antes de seguir, descubre en detalle qué es el DPO y cuáles son sus funciones exactas

Listado oficial: Sectores obligados por la LOPDGDD a nombrar un DPO 

El artículo 34 de la LOPDGDD establece un listado de categorías de responsables y encargados del tratamiento que, en todo caso, deben designar un DPD, con independencia de su tamaño:

  • Centros sanitarios y clínicas (Art. 34.1.l): Obligatorio para hospitales y clínicas que mantengan historias clínicas, dado que gestionan datos de salud (categoría especial). Excepción: Profesionales de la salud que ejercen a título individual.
  • Centros docentes y universidades (Art. 34.1.b): Los centros que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las universidades públicas y privadas. La obligación no se limita a la protección de menores: abarca todo tratamiento inherente a la actividad educativa, incluyendo datos de alumnado adulto, personal docente y familias.
  • Empresas de seguridad privada (Art. 34.1.ñ): Las entidades reguladas por la Ley 5/2014 de Seguridad Privada, cuya actividad incluye vigilancia y protección, escoltas, transporte de seguridad, instalación de sistemas y, entre otros servicios, videovigilancia. El volumen y sensibilidad de los datos personales tratados en estas actividades justifica la designación obligatoria.
  • Finanzas, Seguros y Telecomunicaciones (Art. 34.1 c, e, f, g): Entidades que gestionan solvencia patrimonial, créditos y comunicaciones electrónicas de millones de usuarios. Su riesgo reside en el perfilado y tratamiento automatizado a gran escala.
  • Sector financiero, asegurador y de comunicaciones electrónicas (Art. 34.1 c, e, f, g): Entidades de crédito y establecimientos financieros (letras e y f), entidades aseguradoras y reaseguradoras (letra g), y operadores de redes y servicios de comunicaciones electrónicas cuando traten datos a gran escala de forma habitual y sistemática (letra c). La obligación responde al volumen de datos tratados y al impacto potencial sobre los derechos de los interesados. 
  • Energía y Comercializadoras (Art. 34.1.i): Distribuidores de electricidad y gas natural, dado su acceso masivo a los patrones de consumo de los hogares.
  • Colegios profesionales y sus consejos generales (Art. 34.1.a).
  • Prestadores de servicios de la sociedad de la información (Art. 34.1.d): Cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Empresas de servicios de inversión (Art. 34.1.h): Reguladas por la legislación del Mercado de Valores.
  • Ficheros comunes de solvencia patrimonial y crédito (Art. 34.1.j): Incluidos los ficheros para la gestión y prevención del fraude y los regulados por la legislación de prevención del blanqueo de capitales y financiación del terrorismo.
  • Publicidad y prospección comercial (Art. 34.1.k): Incluidas las de investigación comercial y de mercados, cuando realicen tratamientos basados en preferencias de los afectados o elaboración de perfiles.
  • Informes comerciales (Art. 34.1.m): Entidades cuyo objeto incluya la emisión de informes comerciales que puedan referirse a personas físicas.
  • Operadores de juego (Art. 34.1.n): Los que desarrollen actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
  • Federaciones deportivas (Art. 34.1.o): Cuando traten datos de menores de edad.
¿Está tu empresa obligada a tener un DPO?
¿Está tu empresa obligada a tener un DPO?

Mi sector no está en la lista de la LOPDGDD, ¿estoy exento? 

No bajes la guardia. El Artículo 37 del RGPD actúa como norma europea de cierre. Aunque tu sector específico no aparezca en la lista anterior, estás obligado a nombrar un DPO si cumples una de estas tres condiciones: 

  1. El tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial (Art. 37.1.a RGPD).
  2. Tu actividad principal requiere una observación habitual y sistemática a gran escala (Ejemplo: Una Startup tecnológica que realiza perfilado masivo de usuarios para publicidad).
  3. Procesas categorías especiales de datos a gran escala (Ejemplo: Una App de citas que trata datos sobre orientación sexual o un software de nutrición).

Riesgos y multas de la AEPD por no designar un DPO 

No designar un DPO cuando es obligatorio constituye una infracción grave (Art. 73.v de la LOPDGDD).

Pero cuidado, muchos negocios caen en una trampa aún más común: el Artículo 34.3 obliga a comunicar el nombramiento a la AEPD en un plazo máximo de diez días  y a publicar los datos de contacto del DPD a través de medios electrónicos (art. 37.7 RGPD), lo que en la práctica implica incluirlos en la política de privacidad de la web corporativa y en las cláusulas informativas (arts. 13 y 14 RGPD). 

No hacerlo es un incumplimiento puramente formal, fácil de detectar en procedimientos de inspección. Actualmente, la AEPD muestra una tendencia inspectora muy agresiva, especialmente en clínicas y centros educativos.

¿Estás obligado? Cómo cumplir la normativa sin aumentar tu plantilla 

Cumplir la ley no exige contratar a un directivo interno a tiempo completo, lo cual, además, suele generar riesgo de conflicto de intereses (art. 38.6 RGPD) si, por ejemplo, se nombra al responsable de IT o RRHH.

El artículo 37.6 del RGPD permite la externalización. Contar con un DPO externo te garantiza la independencia exigida por la normativa, transforma un alto coste laboral fijo en una cuota variable y aporta supervisión y asesoramiento técnico especializado .

Para más información sobre la cualificación, posición y funciones del DPD, puedes consultar las Directrices sobre los delegados de protección de datos (WP243 rev.01) del Comité Europeo de Protección de Datos, así como el Esquema de Certificación de DPD promovido por la AEPD.

Protege tu responsabilidad empresarial y optimiza tu inversión legal hoy mismo. 

Irene Crespo Consultora Legal

Irene Crespo
Consultora jurídica.
Área de Protección de Datos

Envelope Linkedin

Categorías Populares

Entradas relacionadas

Contáctanos

Comparte en:

Si quieres más información contacta con nuestro equipo

Artículos que te interesan