La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales regula en su art. 34.1 quiénes son las empresas y profesionales que tienen que nombrar un Delegado de Protección de Datos:
Art. 34.1.-Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
j) “Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.”
Por tanto, nos tenemos que ir a la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo para saber a qué actividades o empresas se refiere.
Pues bien, la citada Ley, establece, en su art. 2, l) que son sujetos obligados:
l) “Los promotores inmobiliarios y quienes ejerzan profesionalmente actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles”
Y ello es así, aunque el art. 31 del Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, (Reglamento que desarrolla la L.O. de Blanqueo de Capitales mencionada) exima a dichas empresas (si no sobrepasan un cierto volumen) de la obligación de observar algunas medidas de control interno referidas a las obligaciones establecidas en las leyes del blanqueo de capitales, como por ejemplo la de elaborar un Análisis de Riesgo o establecer el Manual de Prevención, pero no así, por ejemplo de las Medidas de Adecuación del Control Interno, establecidas en el art. 34 del Reglamento.
Esta es en definitiva la regulación legal de la materia, y la conclusión, es obvia: SI TIENEN LA OBLIGACIÓN LEGAL DE NOMBRAR UN DELEGADO DE PROTECCIÓN DE DATOS.
¿Y si alguien que, estando obligado, no procede a su nombramiento?
Pues eso, desgraciadamente, también lo prevé la nuestra reciente Ley Orgánica 3/2018: Su art. 73, v) sanciona como falta grave “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”