Tenerife réunit deux secteurs où la désignation d'un Délégué à la Protection des Données cesse d'être une simple recommandation pour devenir, dans de nombreux cas, une obligation légale. Le premier est le secteur touristique : hôtels, appartements touristiques, agences réceptives et voyagistes traitent chaque jour des données de clients internationaux — réservations, passeports, cartes bancaires, données liées au système SES.Hospedajes du ministère de l'Intérieur — avec un volume qui peut déclencher l'article 37.1.b du RGPD lorsque le suivi de la clientèle est systématique et à grande échelle, en plus des obligations générales de vidéosurveillance de l'article 22 de la LOPDGDD à la réception, dans les espaces communs et les parkings. Le second est le secteur sanitaire privé : cliniques, centres médicaux, cabinets dentaires et de kinésithérapie de Santa Cruz de Tenerife et de la zone touristique du sud de l'île traitent des données de santé, catégorie particulière protégée par l'article 9 du RGPD, ce qui rend la désignation obligatoire en vertu de l'article 37.1.c lorsque le traitement s'effectue à grande échelle et, en droit espagnol, en vertu de l'article 34.1.l de la LOPDGDD pour les centres légalement tenus de conserver des dossiers médicaux, à l'exception des professionnels exerçant à titre individuel.
En dehors de ces deux cas d'obligation renforcée, d'autres organisations de Tenerife ont intérêt à disposer d'un DPD externe même lorsque la norme ne l'impose pas strictement : agences immobilières avec une clientèle internationale, copropriétés au sein de complexes touristiques, cabinets comptables et de conseil agissant comme sous-traitants pour des tiers, et commerces avec programmes de fidélité. Dans ces cas, la fonction de DPD externe formalise le point de contact avec l'AEPD et apporte le même niveau de rigueur documentaire qu'exige un secteur réglementé, sans que l'organisation ait besoin d'embaucher du personnel dédié à cette fonction.
Summum Consultoría exerce cette fonction depuis son bureau à Las Palmas de Gran Canaria, avec un modèle d'accompagnement pensé pour les organisations situées en dehors de Gran Canaria : la modalité principale est à distance — visioconférences pour le diagnostic et la planification, remise de documents via des plateformes sécurisées, canal de violation par téléphone — et nous réservons le déplacement à Tenerife à ce qui exige réellement une présence physique : le diagnostic initial lorsque l'organisation le préfère sur place, la formation annuelle de l'équipe ou la préparation d'une inspection de l'AEPD. Nous ne disposons pas de bureau physique à Tenerife et ne l'annonçons pas comme tel ; le service est assuré depuis notre implantation canarienne, avec une couverture déclarée et effective sur toute l'île, dans la continuité du modèle que nous appliquons déjà via notre service de conformité RGPD à Tenerife et notre service de DPD externe à Las Palmas.
Ce service ne remplace pas la mise en conformité RGPD complète lorsque l'organisation part de zéro : pour cela, consultez notre service de protection des données à Tenerife, qui couvre le registre des traitements, les mentions d'information et les contrats de sous-traitance. Le DPD externe est la brique qui s'ajoute une fois que la désignation est obligatoire pour le secteur, ou lorsque l'organisation souhaite renforcer son système avec une fonction formellement inscrite auprès de l'AEPD, exerçant les fonctions d'information, de conseil, de contrôle et de coopération avec l'autorité de contrôle décrites à l'article 39 du RGPD, avec l'indépendance et l'absence de conflit d'intérêts exigées par l'article 38.6.
Le Cabildo insulaire de Tenerife et les mairies de l'île — Santa Cruz, San Cristóbal de La Laguna, Arona, Adeje — sont des sujets tenus par le RGPD et, dans la plupart des cas, doivent désigner un Délégué à la Protection des Données en vertu de l'article 37.1.a. Les entreprises touristiques et sanitaires qui contractent avec ces administrations, ou qui participent à des projets de numérisation du Gouvernement des Canaries, doivent justifier de leur propre mise en conformité dans le cadre des exigences habituelles des appels d'offres ; disposer d'un DPD externe formellement inscrit facilite cette justification.
L'article 34 de la LOPDGDD élargit le catalogue espagnol des cas de désignation obligatoire au-delà de la liste générale de l'article 37 du RGPD, en incluant expressément les établissements scolaires proposant un enseignement réglementé à tout niveau, les ordres professionnels et leurs conseils généraux, ainsi que les établissements de crédit et les assureurs — autant de figures présentes dans le tissu économique de Tenerife au-delà de l'axe touristique et sanitaire. Avant toute inscription formelle, nous vérifions si votre organisation entre dans l'un de ces cas renforcés du droit espagnol, et pas seulement dans le cadre général européen, car les deux listes ne coïncident pas exactement et une analyse superficielle peut laisser de côté de véritables obligations. Dans le cas précis de l'hôtellerie, externaliser la gestion des réservations auprès d'une plateforme ou d'un voyagiste ne fait pas disparaître la qualité de responsable du traitement : l'établissement reste responsable de l'existence d'un contrat de sous-traitance conforme à l'article 28 du RGPD avec chaque prestataire accédant aux données de ses clients, et c'est le DPD externe qui vérifie périodiquement que ces contrats sont en vigueur et couvrent l'activité réelle.