Tenerife concentra dos sectores en los que la designación de un Delegado de Protección de Datos deja de ser una recomendación para convertirse, en muchos casos, en una obligación legal. El primero es el turístico: hoteles, apartamentos turísticos, agencias receptivas y touroperadores tratan a diario datos de huéspedes internacionales —reservas, pasaportes, tarjetas de pago, datos vinculados al sistema SES.Hospedajes del Ministerio del Interior— con un volumen que puede activar el artículo 37.1.b del RGPD cuando el seguimiento de clientes es sistemático y a gran escala, además de las obligaciones generales de videovigilancia del artículo 22 de la LOPDGDD en recepciones, zonas comunes y aparcamientos. El segundo es el sanitario privado: clínicas, centros médicos, gabinetes dentales y de fisioterapia de Santa Cruz de Tenerife y de la zona turística del sur de la isla tratan datos de salud, categoría especial protegida por el artículo 9 del RGPD, lo que convierte la designación en obligatoria conforme al artículo 37.1.c cuando el tratamiento se realiza a gran escala y, en España, conforme al artículo 34.1.l de la LOPDGDD para los centros legalmente obligados a mantener historias clínicas, con la excepción de los profesionales que ejercen a título individual.
Fuera de estos dos supuestos de obligatoriedad reforzada, otras organizaciones tinerfeñas se benefician de contar con un DPO externo aunque la norma no lo exija de forma estricta: inmobiliarias con cartera de clientes internacionales, comunidades de propietarios en complejos turísticos, despachos de gestoría y asesoría que actúan como encargados del tratamiento de terceros, y comercios con programas de fidelización. En estos casos, la figura del DPO externo formaliza el punto de contacto con la AEPD y aporta el mismo nivel de rigor documental que exige un sector regulado, sin necesidad de incorporar personal propio dedicado a esta función.
Summum Consultoría presta este servicio desde su oficina en Las Palmas de Gran Canaria, con un modelo de atención pensado para organizaciones fuera de Gran Canaria: la modalidad principal es remota —videollamadas para el diagnóstico y la planificación, entrega de documentación a través de plataformas seguras, canal de brecha telefónico— y reservamos el desplazamiento a Tenerife para lo que realmente requiere presencia física: el diagnóstico inicial cuando la organización lo prefiere in situ, la formación anual del equipo o la preparación de una inspección de la AEPD. No disponemos de oficina física en Tenerife y no la anunciamos como tal; el servicio se articula desde nuestra sede canaria con cobertura declarada y efectiva en toda la isla, en la línea del modelo que ya aplicamos desde nuestra consultoría RGPD en Tenerife y desde nuestro servicio de DPO externo en Las Palmas.
Este servicio no sustituye a la adecuación completa al RGPD cuando la organización parte de cero: para eso está nuestro servicio de protección de datos en Tenerife, que resuelve el registro de actividades, las cláusulas informativas y los contratos con encargados del tratamiento. El DPO externo es la pieza que se añade encima cuando la designación es obligatoria por sector o cuando la organización quiere reforzar su sistema con una figura formalmente registrada ante la AEPD, con las funciones de información, asesoramiento, supervisión y cooperación con la autoridad de control que describe el artículo 39 del RGPD, y con la independencia y ausencia de conflicto de intereses que exige el artículo 38.6.
El Cabildo Insular de Tenerife y los ayuntamientos de la isla —Santa Cruz, San Cristóbal de La Laguna, Arona, Adeje— son sujetos obligados por el RGPD y, en la mayoría de los casos, deben designar un Delegado de Protección de Datos conforme al artículo 37.1.a. Las empresas turísticas y sanitarias que contratan con estas administraciones, o que participan en proyectos de digitalización del Gobierno de Canarias, deben acreditar su propia adecuación normativa como parte de los requisitos habituales de licitación; contar con un DPO externo formalmente registrado facilita esa acreditación.
El artículo 34 de la LOPDGDD amplía el catálogo español de supuestos de designación obligatoria más allá del listado general del artículo 37 del RGPD, e incluye expresamente a los centros docentes que ofrezcan enseñanzas regladas de cualquier nivel, a los colegios profesionales y sus consejos generales, y a las entidades de crédito y aseguradoras, figuras todas ellas presentes en el tejido tinerfeño más allá del eje turístico y sanitario. Antes de formalizar cualquier alta comprobamos si tu organización encaja en alguno de estos supuestos reforzados de la norma española, y no solo en el marco general europeo, porque el listado no coincide exactamente en ambas normas y un análisis superficial puede dejar fuera obligaciones reales. En el caso concreto de la hostelería, la propia condición de responsable del tratamiento no desaparece por externalizar la gestión de reservas a una plataforma o a un touroperador: el establecimiento sigue siendo responsable de que exista un contrato de encargo del tratamiento conforme al artículo 28 del RGPD con cada proveedor que accede a datos de sus huéspedes, y el DPO externo es quien revisa periódicamente que esos contratos están en vigor y cubren la actividad real.