Así, el artículo 34 de la nueva LOPD complementa los casos recogidos por el artículo 37.1 del Reglamento en los que se requería designar a un Delegado, siempre que: a) el tratamiento lo llevara a cabo una autoridad u organismo público; b) las actividades principales del responsable o del encargado consistieran en operaciones de tratamiento que requiriesen una observación sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistieran en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Ahora, como hemos adelantado, el artículo 34. 1 de la LOPD es mucho más explícito y detalla que, en todo caso, se deberá contar con un Delegado de Protección de Datos cuando se trate de las siguientes entidades: a) Los colegios profesionales y sus consejos generales; b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos na la legislación reguladora del derecho a la educación, así como las Universidades; c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala; d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio; e) Las entidades incluidas en el art. 1 de la Ley de ordenación, supervisión y solvencia de entidades de crédito; f) Los establecimientos financieros de crédito; g) Las entidades aseguradoras y reaseguradoras; h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores; i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural; j) Las entidades responsables de ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo; k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. No incluyendo los profesionales de la salud que ejercen individualmente; m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas; n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos; ñ) Las empresas de seguridad privada; o) Las federaciones deportivas cuando traten datos de menores de edad.
A la vista de esta normativa, son muchas las entidades y empresas que deben designar a un Delegado de Protección de Datos con la cualificación que exige el RGPD en su artículo 37.5. que se concreta en contar con conocimientos especializados del Derecho y la práctica en materia de Protección de Datos.
Fdo.: Federico Rodríguez Ardila. Abogado. Delegado de Protección de Datos (DPD) certificado con nº DPD-0034/2018 por AENOR de conformidad con el Esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos – Director de Vente Consultoría.