Sanción de 50.000 € a una empresa de seguridad por no tener contratado un DPD
Una empresa de Seguridad Privada ha sido sancionada por la Agencia Española de Protección de datos con 50.000,00 € por no tener contratado y designado un Delegado de Protección de Datos (DPD).
¿Qué obliga a las empresas de seguridad a tener contratado y designado un DPD?
El Reglamento Europeo de Protección de Datos 679/2016 artículo 37 y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales, artículo 34.
¿En España, las empresas de seguridad están obligadas a disponer de un DPD?
SI, por obligación legal, artículo 34, apartado ñ) de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales, al ser un sector determinado como muy sensible, por afectar a la seguridad ciudadana y a derechos fundamentales.
¿Cómo se designa el DPD?
El DPD puede ser Interno, contratado directamente por la empresa, o Externo, contratando a una empresa o profesional debidamente cualificado para ejercer dicha función.
¿Quién puede ser DPD?
Puede ser cualquier persona física -o jurídica– con conocimientos profundos en derecho y que acredite suficientes conocimientos en materia de Protección de Datos mediante certificación, artículo 35 de la Ley Orgánica 3/2018. Es recomendable que conozca el derecho sectorial de la actividad de la empresa y que tenga experiencia en procedimiento administrativo común.
¿Qué entidades emiten certificaciones de DPD?
Las entidades de certificación publicadas en la Agencia Española de Protección de Datos que cumplan con el esquema AEDP-DPD, y la Asociación Española de Privacidad APEP.
¿Hay incompatibilidades en el nombramiento de un DPD interno?
La agencia ha emitido un informe que impide que los directivos de la empresa que tengan competencias o tutela sobre datos personales, aun teniendo capacitación suficiente, puedan ejercer como Delegados de Protección de Datos, por conflicto de intereses.
En especial Administradores y Gerentes, Directores de RRHH y de Seguridad, Directores de Marketing, Directores Comercial y Financiero, o cargos similares.
¿Desde cuando es obligatorio tener un DPD?
Desde la entrada en vigor del Reglamento Europeo de Protección de Datos 679/2016, para entidades recogidas en el artículo 37, 25 de mayo de 2018 y para las entidades y sectores designados expresamente en el artículo 34 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales, desde el 8 diciembre de 2018.
¿Es causa de sanción no disponer de un DPD estando obligado?
Sí, es causa de sanción muy grave. Y en caso de comprobación será verificado específicamente su nombramiento efectivo en el registro público de la AEPD (https://www.aepd.es), donde figura el contrato registrado por el DPD y su capacitación profesional.
¿Cuáles son las obligaciones del DPD?
El DPO es el responsable e interlocutor de la empresa ante la Agencia Española de Protección de Datos. Desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento realizadas, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento, con una serie de funciones tasadas en la ley, entre las que se encuentra la supervisión y aplicación del ejercicio de derechos del afectado o interesado.