Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.

Cuando una organización designe un DPD de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del RGPD y 34 a 37 LOPDGDD, como si el nombramiento hubiera sido obligatorio.

El artículo 37.1 del Reglamento General de Protección de Datos (RGPD, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) requiere la designación de un DPD en tres casos específicos:

  1. Cuando el tratamiento lo lleven a cabo autoridades u organismos públicos (tanto autoridades nacionales como regionales o locales, así como en organismos regidos por el derecho público).
  2. Cuando los responsables o encargados tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala (atención a la videovigilancia de grandes aforos).
  3. Cuando los responsables o encargados tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles (categorías especiales de datos personales, datos relativos a condenas e infracciones penales).

Por lo que respecta a la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales), publicada hace ya casi un año, en su artículo 34 se establece la designación obligatoria de DPD en el supuesto de las más de 1.300 empresas de seguridad privada (además de los contemplados en el RGPD y otros supuestos recogidos en el mismo artículo), sin importar el tamaño, número de empleados o volumen de datos tratados.

Régimen sancionador.

Hemos de recordar, por tanto, que el art. 73.v) de la LOPDGG establece como infracción grave del responsable o encargado del tratamiento “el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”

Conforme al artículo 83.4 RGPD, consideramos conveniente reseñar que “las infracciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

  • las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
  • las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
  • las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.”

Contacte con SIQURË para recibir ayuda o asesoramiento en el proceso de designación o externalización del DPD.


Procedencia de los datos de contacto de las empresas de seguridad privada (fuente de acceso público): Listado de empresas de seguridad inscritas en el Registro Nacional de  Seguridad Privada del Ministerio del Interior.
https://www.policia.es/org_central/seguridad_ciudadana/unidad_central_segur_pri/listados/empresas_inscritas_12_06_18.pdf