- Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
1. Requisitos Legales para la Designación del DPD
**a. Casos de Designación Obligatoria
El RGPD y la LOPDGDD especifican ciertos casos en los que la designación de un DPD es obligatoria:
- Autoridades y Organismos Públicos: Las entidades públicas deben designar un DPD, independientemente de la naturaleza del tratamiento de datos.
- Actividades de Tratamiento a Gran Escala: Cuando las actividades principales del controlador o del encargado del tratamiento consisten en operaciones de tratamiento que requieren una observación habitual y sistemática a gran escala de interesados, como empresas de servicios de información o plataformas online.
- Tratamiento a Gran Escala de Datos Especiales: Si se trata de datos personales a gran escala, especialmente datos sensibles como información sobre salud, raza, orientación sexual, etc.
**b. Designación Voluntaria
Incluso si no es obligatorio, las organizaciones pueden optar por designar un DPD para asegurar el cumplimiento de la normativa y gestionar de manera efectiva los riesgos asociados con el tratamiento de datos personales.
2. Proceso de Designación del DPD
**a. Selección del Candidato
- Requisitos de Cualificación: Seleccionar a una persona o entidad con los conocimientos, formación y experiencia necesarios en protección de datos y privacidad.
- Independencia y Autonomía: Asegurar que el candidato pueda desempeñar sus funciones de manera independiente y no esté sujeto a instrucciones que afecten a su papel en la protección de datos.
**b. Formalización de la Designación
- Contrato de Trabajo o Acuerdo: Formalizar la designación mediante un contrato de trabajo o un acuerdo formal con el DPD. Este contrato debe detallar sus responsabilidades, derechos y la protección frente a represalias.
- Documentación Interna: Registrar oficialmente la designación en la documentación interna de la organización y notificar a la Agencia Española de Protección de Datos (AEPD) o a la autoridad de protección de datos competente si es requerido.
**c. Notificación a la Autoridad
- Comunicación a la AEPD: Notificar la designación del DPD a la Agencia Española de Protección de Datos a través del registro de DPD disponible en el sitio web de la AEPD.
- Actualización de Contactos: Actualizar los datos de contacto del DPD en la política de privacidad y en cualquier otra documentación pública relevante.
3. Responsabilidades y Funciones del DPD
**a. Supervisión y Asesoramiento
- Cumplimiento Normativo: Asesorar a la organización sobre el cumplimiento del RGPD y la LOPDGDD.
- Evaluaciones de Impacto: Supervisar y asesorar en la realización de Evaluaciones de Impacto sobre la Protección de Datos (DPIA).
**b. Coordinación y Comunicación
- Relación con la Autoridad: Actuar como punto de contacto con la AEPD y otras autoridades de protección de datos.
- Formación Interna: Capacitar al personal sobre protección de datos y prácticas de privacidad.
**c. Gestión de Incidencias y Reclamaciones
- Reclamaciones de Interesados: Gestionar las reclamaciones de los interesados y coordinar la respuesta ante violaciones de datos personales.
- Incidencias de Seguridad: Supervisar la respuesta a incidentes de seguridad relacionados con datos personales.
4. Protección y Recursos para el DPD
**a. Protección Legal
- Independencia: Garantizar que el DPD pueda cumplir con sus responsabilidades sin temor a represalias o interferencias.
- Seguridad en el Cargo: Proteger al DPD contra el despido o cualquier otra forma de represalia por el desempeño de sus funciones de protección de datos.
**b. Recursos y Apoyo
- Recursos Adecuados: Proporcionar al DPD los recursos necesarios, incluyendo tiempo y personal de apoyo, para cumplir con sus responsabilidades.
- Acceso a Información: Asegurar que el DPD tenga acceso a toda la información necesaria para realizar su trabajo de manera efectiva.
**5. Revisión y Actualización
- Revisión Periódica: Revisar y actualizar la designación del DPD y sus responsabilidades de manera periódica para adaptarse a cambios en la normativa, en la organización o en las prácticas de tratamiento de datos.