¿Es obligatoria la presen...curadores?
Ver Indice
»

Última revisión
07/10/2024

datos

1060 - ¿Es obligatoria la presencia de un delegado de protección de datos en un despacho de abogados o procuradores?

Tiempo de lectura: 4 min

Tiempo de lectura: 4 min

Relacionados:

Vademecum: datos

Fecha última revisión: 07/10/2024

Resumen:

Los que ejerzan a título individual no están obligados a contar con un DPD, aunque su nombramiento sí que resulta recomendable. En caso de que el despacho desarrolle actividades que consistan en operaciones de tratamiento en gran escala, sí resultará necesario el nombramiento de un DPD. Los requisitos para determinar un tratamiento a gran escala han sido esclarecidos por el Grupo de Trabajo sobre la protección de datos del artículo 29.


Resulta interesante suscribir lo recogido por el CGAE en su artículo «Abogacía y protección de datos: elementos clave para su cumplimiento», por Julián Prieto Hergueta, subdirector general del Registro General de Protección de Datos, que respecto a la figura del delegado de protección de datos concluye:

«El DPD es una figura a la que el RGPD atribuye un papel fundamental dentro del modelo de responsabilidad activa que establece, por lo que resulta fundamental que su designación descanse en una persona que reúna los requisitos de cualificación y de capacidad que exige el RGPD».

En definitiva, debe atenderse, primeramente, al tipo de ejercicio que se esté dando, tanto por el abogado como por el procurador.

De esta forma, acudiendo a los artículos 37 del RGPD y 34 de la LOPDGDD, y atendiendo al caso especial del ejercicio del profesional, podríamos concluir:

  • Los que ejerzan a título individual no están obligados a designar un DPD, aunque su nombramiento siempre es recomendable.
  • Como se recoge en el artículo de la CGAE arriba mencionado, resultaría recomendable que las corporaciones profesionales, que como tales están obligadas a contar con un DPD [como dice el artículo 34, apartado 1, letra a) de la LOPDGDD], pudieran ofrecer estos servicios de forma voluntaria a quienes no estén obligados a disponer de esta figura, de manera que les sirviera de ayuda para el cumplimiento de la normativa aplicable.
  • Deberá designarse un DPD en el caso de que el despacho desarrolle actividades que consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Deberá definirse a qué se refieren con «gran escala»:
    • El Grupo de Trabajo sobre la protección de datos del artículo 29, en sus Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016, esclareció sobre esta cláusula que para considerar un tratamiento a gran escala debe tenerse en cuenta: 

- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.

- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.

- La duración, o permanencia, de la actividad de tratamiento de datos.

- El alcance geográfico de la actividad de tratamiento.

    • Pero el Grupo de Trabajo es muy claro al determinar que no constituye un tratamiento a gran escala el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado. 
  • Igualmente, se designará DPD si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 del RGPD o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

CUESTIÓN

Un despacho de abogados, ¿está obligado a nombrar un DPD?

Para responder a esta cuestión hay que tener en cuenta más de un elemento. En efecto, pudiera enmarcarse este tipo de entidades en el tercer condicionante indicado en el RGPD, por el tratamiento de categorías especiales de datos y datos relativos a condenas e infracciones penales. Sin embargo, se requiere que dicho tratamiento se realice a gran escala. Por esta razón, lo que se debe valorar es el tamaño de la entidad, el alcance territorial de sus tratamientos y el volumen de interesados de los que manejan datos.

De esta forma, atendiendo a la estructura de la empresa, podemos afirmar que, si se trata de un despacho común, unipersonal o con pocos socios y de pequeño volumen, no necesitará nombrar DPD.

Resulta interesante consultar las Directrices sobre los delegados de protección de datos del Grupo de Trabajo sobre protección de datos del artículo 29. 

A TENER EN CUENTA. Para un estudio profundo de la figura del DPD en lo que atañe también a las funciones, su posición, etc., es importante acudir a los arts. 38 y 39 del RGPD y arts. 35 a 37 de la LOPDGDD.