DPD ¿cuándo es obligatorio?
Allá por el mes de enero de 2015 (ha llovido lo suyo), tratábamos de explicar quién necesitaba un DPD y nos preguntamos: el DPD ¿cuándo es obligatorio?
Desde esa fecha han pasado muchas cosas: a nivel normativo, se ha aprobado y publicado el Reglamento (UE) 2016/679, en abril de 2016, y en julio de este año, se ha publicado el anteproyecto de ley que derogará la LOPD. Además, nuestra querida AEPD, ha publicado el Esquema para la Certificación de DPD. Histeria colectiva. Cursos de DPD en los suplementos dominicales… Será un gran fin de año.
Volvemos a la pregunta: el DPD ¿cuándo es obligatorio?
A los tres supuestos que finalmente recogió el RGPD en su artículo 37.1, el anteproyecto (artículo 35.1), suma la friolera de 15 más, destacando entidades como:
– Los colegios profesionales.
– Centros docentes.
– Prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios ¿una web que haga comercio electrónico? ¿una web con un formulario de contacto?
– Entidades aseguradoras y reaseguradoras.
– Distribuidores y comercializadores de energía eléctrica.
– Entidades responsables de ficheros de morosidad.
– Entidades que se dediquen a la publicidad o prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los usuarios.
– Empresas que se dediquen a actividades reguladas por la Ley de Seguridad Privada.
Viendo la lista, creo que la pregunta más fácil de resolver es ¿cuándo, no necesito un DPD?. A nadie se le escapa que la cuestión del Reglamento Europeo, así como de la figura del DPO, es una gran oportunidad de negocio para aquellos que nos dedicamos a la bendita privacidad y todo ello cuando la cuestión de la LOPD (LOPD a coste cero, mediante) había empezado a perder fuelle o, cuanto menos, prestigio. «Le cambiamos el nombre, ponemos unas siglas en inglés y tenemos material para los próximos 15 años».
Sinceramente opino que ampliar hasta este límite, los supuestos de nombramiento obligatorio del DPD puede tener el riesgo que quienes estén por ley obligados a tenerlo, tengan la tentación de abstenerse de ello al no sentir que el tratamiento de datos que hagan, sea especialmente sensible.
Va la anécdota de abuelo cebolleta: recuerdo en el lejano 2009 cuando tuve la ocasión de pasar un mes en la oficina de la Autoridad de Protección de Datos de Nueva Zelanda (¡qué país!), y las caras que ponían cuando les decía que en España sino se cumplía la ley, ¡¡¡ponían multas!!!. Aquella gente alucinaba y me decían que allí las empresas cumplían por la mala prensa que podía ocasionar un eventual incumplimiento. Ciencia ficción.
Todo este tema del DPD suena a más de lo mismo: cursos de certificación, cuotas para los profesionales, aumento de costes para las empresas que no entienden por qué tienen que sufrirlo ellos…Sé que me tiro pedruscos así de grandes sobre mi tejado, será el síndrome de sinceridad pre-vacacional ¿existe esto?
Feliz descanso y volvemos en septiembre.