La reciente aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales (LOPDGDD), ha permitido solventar algunas de las dudas, que hasta el momento ha generado la aplicación directa del Reglamento (UE) 2016/679 (RGPD), acerca de la figura del Delegado de Protección de Datos, más conocido por sus siglas en inglés “DPO” (Data Protection Officer).
Ya en el artículo 37.1 del RGPD se establece que el responsable y el encargado del tratamiento designarán un DPO siempre que:
a. El tratamiento lo lleve a cabo una autoridad u organismo público (excepto los Tribunales en el ejercicio de sus funciones).
b. Las actividades principales del responsable o del encargado tengan que ver con una observación habitual y sistemática de interesados a gran escala.
c. Las actividades de tratamiento del responsable o del encargado consistan en un tratamiento a gran escala de categorías especiales de datos y/o relativos a condenas e infracciones penales.
Dada la redacción abierta que hace el RGPD, la nueva LOPDGDD ha llegado para intentar zanjar algunos interrogantes. En efecto, el artículo 34.1 de la presente Ley, enumera un amplio listado de supuestos concretos en los que resulta obligatorio el nombramiento de un DPO, que son los siguientes:
1. Los colegios profesionales y sus consejos generales.
2. Los centros docentes, Universidades públicas y privadas.
3. Entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
5. Las entidades de crédito, bancos, cajas de ahorro, cooperativas de crédito y el Instituto de Crédito Oficial.
6. Los establecimientos financieros de créditos
7. Las entidades aseguradoras y reaseguradoras.
8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
9. Los distribuidores y comercializadores de energía eléctrica y gas natural.
10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
11. Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles.
12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
15. Las empresas de seguridad privada.
16. Las federaciones deportivas cuando traten datos de menores de edad.