Canarias no tiene una autoridad de control propia en materia de protección de datos: las reclamaciones y los procedimientos sancionadores de cualquier empresa establecida en Las Palmas de Gran Canaria, en Tenerife o en el resto de las islas se tramitan ante la AEPD, con sede en Madrid, y con los mismos plazos, criterios y régimen sancionador del artículo 83 del RGPD que en cualquier otra comunidad autónoma. La distancia con la Península no reduce la obligación ni la exposición al riesgo; en la práctica, la aleja del interlocutor natural que muchas organizaciones tienen en otras comunidades.
Un número creciente de organizaciones del archipiélago está obligado a designar un DPO por imperativo del artículo 37 del RGPD y el artículo 34 de la LOPDGDD: clínicas y centros de salud privados, centros docentes que imparten enseñanzas regladas de cualquier nivel, aseguradoras y entidades financieras, empresas de seguridad privada y cualquier administración o entidad de titularidad pública, incluidos ayuntamientos y organismos dependientes del Cabildo de Gran Canaria. A otras muchas —hoteles y apartamentos turísticos con programas de fidelización y videovigilancia, agencias de viajes, inmobiliarias, comercio con perfilado de cliente y empresas acogidas al régimen fiscal de la Zona Especial Canaria que gestionan datos de clientes y proveedores de fuera del archipiélago— les conviene contar con esta figura aunque no sea obligatoria, porque formaliza el punto de contacto con la AEPD y adelanta el trabajo que hoy exigen muchos clientes grandes antes de firmar un contrato.
Summum Consultoría ejerce esta función con presencia física en Las Palmas de Gran Canaria, la única del silo de protección de datos del grupo en Canarias, con cobertura operativa que llega también a Tenerife y al resto de las islas. Trabajamos como tercero registrado ante la Agencia, con plantillas y procedimientos distintos por sector: no aplicamos el mismo protocolo a un hotel de Playa del Inglés que a una clínica del centro de Las Palmas, a un despacho profesional o a una empresa tecnológica instalada bajo el régimen ZEC. Cuando el proyecto lo requiere —una auditoría inicial, la formación del equipo, la preparación de una inspección— acordamos reunión presencial; el resto de la relación se sostiene con un canal directo, no con un formulario genérico.
El servicio no sustituye a la adecuación completa al RGPD cuando la organización parte de cero — para eso está nuestro servicio de protección de datos en Las Palmas, que resuelve el registro de actividades, las políticas de privacidad y los contratos con proveedores y plataformas de reservas —; el DPO externo es la pieza que se añade encima cuando la designación es obligatoria por sector o cuando la organización quiere reforzar su sistema con una figura formalmente registrada ante la AEPD y con capacidad de interlocución directa, sin depender de un gestor que nunca ha pisado la isla.