Las condiciones necesarias y específicas que se deben de producir para el establecimiento de la figura del Delegado de Protección de Datos (DPD) en las empresas que lo precisan.
1. La figura del Delegado de Protección de Datos (DPD):
Con la publicación en el Boletín Oficial del Principado de Andorra la Ley 29/2021 (Ley de Protección de Datos personales), de 28 de octubre, cualificada de Protección de Datos personales, se introduce la figura del DPD; la persona encargada de notificar a la entidad responsable o al Responsable del Tratamiento sobre las obligaciones legales que este presenta en el ámbito de la Protección de los Datos. Asimismo, el DPD debe asegurar y supervisar el cumplimiento de la normativa al respecto, cooperar con la entidad de control y ser el punto de conexión entre ambas; la entidad responsable y la entidad de control.
También hay que tener en cuenta que el DPD es uno de los ejes principales del principio de responsabilidad proactiva. Igualmente, para más información ampliada sobre las funciones de un delegado de protección de datos, puede visitar el blog dedicado en nuestra página web.
2. Las empresas que deben nombrar un Delegado de Protección de Datos
Tant els empreses o organitzacions privades com, les administracions y/o entitats públiques han de anomenar un Delegat de Protecció de Dades.
Administraciones públicas, organismos autónomos y entidades parapúblicas
Si eres una administración pública, un organismo autónomo o una entidad parapública estas obligado a designar el Delegado de Protección de Datos (DPD). Restan expresamente excluidos de esta obligación los tribunales que actúan en ejercicio de su función judicial.
Empresas u organizaciones privadas
Si eres una empresa u organización privada, deberás de designar un DPD si:
- Los tratamientos de datos personales que realizas requieren de una evaluación sistemática y exhaustiva de aspectos personales basada en un tratamiento automatizado. Es decir, cuando se produce un análisis preestablecido, organizado y metódico de los aspectos personales de las personas tratadas, donde los medios tecnológicos (y no los seres humanos) toman decisiones en base a los datos introducidos en un sistema. Por ejemplo:
- Elaboración de perfiles de solvencia
- Elaboración de perfiles de rendimiento laboral
- Recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público
- Procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información (servicios web, TV, interactiva, aplicaciones móviles, etc.).
- Tratas categorías especiales de datos personales a gran escala. Aquellas que, con su tratamiento, pueden revelar:
- el origen étnico o racial,
- las opiniones políticas,
- las convicciones religiosas o filosóficas o de afiliación sindical,
- los datos genéticos,
- los datos biométricos destinados a identificar de manera unívoca una persona física,
- los datos relativos a la salud o
- los datos relativos a la vida sexual o la orientación sexual de una persona física
- Si tratas este tipo de datos en tu entidad y, además, lo haces a gran escala, deberás de designar el DPD:
- Cuando realizas tratamientos de datos personales de una cantidad considerable de datos personales de ámbito nacional o supranacional que pueden afectar un gran nombre de interesados. Deberemos tener en cuenta 4 aspectos: el número de afectados, el tipo y volumen de datos recogidos, el alcance geográfico y la duración del tratamiento.
El concepto “considerable” hace falta extrapolarlo a la realidad del país y al volumen total de población potencialmente afectada.
- Cuando realizas tratamientos de datos personales de una cantidad considerable de datos personales de ámbito nacional o supranacional que pueden afectar un gran nombre de interesados. Deberemos tener en cuenta 4 aspectos: el número de afectados, el tipo y volumen de datos recogidos, el alcance geográfico y la duración del tratamiento.
- Cuando pueda conllevar un alto riesgo para los derechos y libertades de las personas interesadas. Principalmente, a los derechos a la protección de datos y a la intimidad, como, por ejemplo:
- Tratamientos que pueden dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la pseudonimización o cualquier otro perjuicio económico o social significativo;
- Tratamientos en la elaboración de perfiles, en particular el análisis o la predicción de aspectos referidos al rendimiento a la faena, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, para crear o utilizar perfiles personales.
- Cuando pueda conllevar un alto riesgo para los derechos y libertades de las personas interesadas. Principalmente, a los derechos a la protección de datos y a la intimidad, como, por ejemplo:
- Si tu actividad principal consiste en el tratamiento de datos de sujetos vulnerables, en riesgo de exclusión social y/o menores de 14 que merecen una protección específica.
Recuerda! Los datos de contacto del DPD se deben de comunicar a la Agencia Andorrana de Protección de Datos (APDA) en el plazo de diez días hábiles siguientes a la fecha de su nombramiento.
No dude en contactar con Andorra Tarinas, en caso de necesitar ayuda. Nuestro equipo de profesionales le asesorará.