Canarias

DPO externo en Tenerife

Ejercemos la función de Delegado de Protección de Datos (DPO) externo para establecimientos hoteleros, agencias receptivas, clínicas privadas y despachos profesionales de Tenerife. Trabajamos desde nuestra oficina en Las Palmas de Gran Canaria, con atención remota como modalidad principal y desplazamientos puntuales a la isla para el diagnóstico inicial, la formación del equipo o cualquier reunión que prefieras tratar cara a cara: registro formal ante la Agencia Española de Protección de Datos (AEPD), canal de brecha en menos de 24 horas y un DPO que conoce el sector turístico y sanitario de Canarias, no una cuenta genérica gestionada desde la Península.

Norma aplicableRGPD arts. 37-39 · LOPDGDD art. 34
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos
Ubicación y coberturaOficina en Las Palmas de Gran Canaria · Servicio remoto y presencial en Tenerife

Tenerife concentra dos sectores en los que la designación de un Delegado de Protección de Datos deja de ser una recomendación para convertirse, en muchos casos, en una obligación legal. El primero es el turístico: hoteles, apartamentos turísticos, agencias receptivas y touroperadores tratan a diario datos de huéspedes internacionales —reservas, pasaportes, tarjetas de pago, datos vinculados al sistema SES.Hospedajes del Ministerio del Interior— con un volumen que puede activar el artículo 37.1.b del RGPD cuando el seguimiento de clientes es sistemático y a gran escala, además de las obligaciones generales de videovigilancia del artículo 22 de la LOPDGDD en recepciones, zonas comunes y aparcamientos. El segundo es el sanitario privado: clínicas, centros médicos, gabinetes dentales y de fisioterapia de Santa Cruz de Tenerife y de la zona turística del sur de la isla tratan datos de salud, categoría especial protegida por el artículo 9 del RGPD, lo que convierte la designación en obligatoria conforme al artículo 37.1.c cuando el tratamiento se realiza a gran escala y, en España, conforme al artículo 34.1.l de la LOPDGDD para los centros legalmente obligados a mantener historias clínicas, con la excepción de los profesionales que ejercen a título individual.

Fuera de estos dos supuestos de obligatoriedad reforzada, otras organizaciones tinerfeñas se benefician de contar con un DPO externo aunque la norma no lo exija de forma estricta: inmobiliarias con cartera de clientes internacionales, comunidades de propietarios en complejos turísticos, despachos de gestoría y asesoría que actúan como encargados del tratamiento de terceros, y comercios con programas de fidelización. En estos casos, la figura del DPO externo formaliza el punto de contacto con la AEPD y aporta el mismo nivel de rigor documental que exige un sector regulado, sin necesidad de incorporar personal propio dedicado a esta función.

Summum Consultoría presta este servicio desde su oficina en Las Palmas de Gran Canaria, con un modelo de atención pensado para organizaciones fuera de Gran Canaria: la modalidad principal es remota —videollamadas para el diagnóstico y la planificación, entrega de documentación a través de plataformas seguras, canal de brecha telefónico— y reservamos el desplazamiento a Tenerife para lo que realmente requiere presencia física: el diagnóstico inicial cuando la organización lo prefiere in situ, la formación anual del equipo o la preparación de una inspección de la AEPD. No disponemos de oficina física en Tenerife y no la anunciamos como tal; el servicio se articula desde nuestra sede canaria con cobertura declarada y efectiva en toda la isla, en la línea del modelo que ya aplicamos desde nuestra consultoría RGPD en Tenerife y desde nuestro servicio de DPO externo en Las Palmas.

Este servicio no sustituye a la adecuación completa al RGPD cuando la organización parte de cero: para eso está nuestro servicio de protección de datos en Tenerife, que resuelve el registro de actividades, las cláusulas informativas y los contratos con encargados del tratamiento. El DPO externo es la pieza que se añade encima cuando la designación es obligatoria por sector o cuando la organización quiere reforzar su sistema con una figura formalmente registrada ante la AEPD, con las funciones de información, asesoramiento, supervisión y cooperación con la autoridad de control que describe el artículo 39 del RGPD, y con la independencia y ausencia de conflicto de intereses que exige el artículo 38.6.

El Cabildo Insular de Tenerife y los ayuntamientos de la isla —Santa Cruz, San Cristóbal de La Laguna, Arona, Adeje— son sujetos obligados por el RGPD y, en la mayoría de los casos, deben designar un Delegado de Protección de Datos conforme al artículo 37.1.a. Las empresas turísticas y sanitarias que contratan con estas administraciones, o que participan en proyectos de digitalización del Gobierno de Canarias, deben acreditar su propia adecuación normativa como parte de los requisitos habituales de licitación; contar con un DPO externo formalmente registrado facilita esa acreditación.

El artículo 34 de la LOPDGDD amplía el catálogo español de supuestos de designación obligatoria más allá del listado general del artículo 37 del RGPD, e incluye expresamente a los centros docentes que ofrezcan enseñanzas regladas de cualquier nivel, a los colegios profesionales y sus consejos generales, y a las entidades de crédito y aseguradoras, figuras todas ellas presentes en el tejido tinerfeño más allá del eje turístico y sanitario. Antes de formalizar cualquier alta comprobamos si tu organización encaja en alguno de estos supuestos reforzados de la norma española, y no solo en el marco general europeo, porque el listado no coincide exactamente en ambas normas y un análisis superficial puede dejar fuera obligaciones reales. En el caso concreto de la hostelería, la propia condición de responsable del tratamiento no desaparece por externalizar la gestión de reservas a una plataforma o a un touroperador: el establecimiento sigue siendo responsable de que exista un contrato de encargo del tratamiento conforme al artículo 28 del RGPD con cada proveedor que accede a datos de sus huéspedes, y el DPO externo es quien revisa periódicamente que esos contratos están en vigor y cubren la actividad real.

El proceso de DPO externo en Tenerife.

El proceso · cuatro tiempos
01

Diagnóstico sectorial en Tenerife

Analizamos los tratamientos de datos personales de tu organización —hotel, agencia receptiva, clínica o despacho— y comprobamos si la designación de DPO es obligatoria según los artículos 37 a 39 del RGPD y el artículo 34 de la LOPDGDD, o si es una mejora recomendable para tu caso.

02

Registro formal ante la AEPD

Damos de alta la designación en la sede electrónica de la Agencia Española de Protección de Datos y comunicamos los datos de contacto del DPO conforme al artículo 37.7 del RGPD, con una reunión presencial en Tenerife si lo prefieres para revisar el alcance del servicio.

03

Operación continua

Canal de brecha disponible en menos de 24 horas, atención de consultas del equipo, revisión periódica del registro de actividades del artículo 30 del RGPD y formación anual, presencial en Tenerife u online según convenga a la organización.

04

Simulacro y auditoría anual

Un simulacro de brecha al año y una revisión de cumplimiento con acta, para llegar a cualquier inspección de la AEPD con el trabajo ya hecho y documentado conforme al principio de responsabilidad proactiva del artículo 5.2 del RGPD.

Qué incluye

Qué incluye DPO externo en Tenerife.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Designación y comunicación a la AEPD

    Alta formal como DPO ante la Agencia Española de Protección de Datos en el plazo de diez días que fija el artículo 34.3 de la LOPDGDD, y publicación de los datos de contacto del DPO conforme al artículo 37.7 del RGPD.

  • Canal de brecha < 24h con conocimiento del sector turístico y sanitario

    Teléfono directo, no formulario genérico: puedes hablar con la persona que ejerce de DPO y conoce las particularidades de la hostelería y la sanidad privada, con notificación a la AEPD en 72 horas cuando el artículo 33 del RGPD lo exija.

  • Revisión del registro de actividades

    Mantenimiento del documento del artículo 30 del RGPD, actualizado cada vez que la organización incorpora un tratamiento nuevo, por ejemplo una plataforma de reservas, un sistema de check-in digital o un nuevo proveedor de historia clínica.

  • Formación anual presencial en Tenerife

    Sesión de formación al equipo, adaptada al sector —recepción hotelera, personal clínico o despacho profesional—, impartida en tus instalaciones durante nuestros desplazamientos periódicos a la isla o de forma online.

  • Interlocución con la AEPD

    El DPO actúa como punto de contacto único ante la Agencia conforme al artículo 39.1.e del RGPD: responde requerimientos y acompaña a la organización si se abre un procedimiento de investigación.

  • Atención de los derechos ARSULIPO

    Procedimiento y modelos de respuesta para acceso, rectificación, supresión, limitación, portabilidad y oposición (ARSULIPO) dentro del plazo de un mes que fija el artículo 12 del RGPD, adaptados a huéspedes internacionales y pacientes.

Preguntas frecuentes sobre DPO externo en Tenerife.

¿Es obligatorio tener un DPO si mi empresa está en Tenerife?

Depende del sector, no de la isla: la obligación la fijan los artículos 37 a 39 del RGPD y el artículo 34 de la LOPDGDD. En Tenerife afecta con frecuencia a establecimientos hoteleros y agencias receptivas con seguimiento sistemático de huéspedes, clínicas y centros de salud privados, centros docentes de enseñanzas regladas y administraciones locales, con independencia de dónde esté domiciliada la organización. Lo comprobamos en el diagnóstico inicial, gratuito.

¿Tiene Summum Consultoría oficina en Tenerife?

No. Nuestra oficina en Canarias está en Las Palmas de Gran Canaria. El servicio de DPO externo en Tenerife se presta con atención principalmente remota y desplazamientos periódicos a la isla para el diagnóstico inicial, la formación del equipo o cualquier reunión que prefieras tratar cara a cara.

¿Cubre este servicio a hoteles y agencias receptivas con tratamiento de datos de huéspedes internacionales?

Sí. Es uno de los perfiles más habituales en Tenerife: establecimientos hoteleros y agencias que gestionan reservas, pasaportes y datos vinculados al sistema SES.Hospedajes, con volúmenes que pueden activar la obligación de designar DPO por seguimiento sistemático a gran escala conforme al artículo 37.1.b del RGPD.

¿Y a clínicas o centros de salud privados de la isla?

También. Las clínicas, gabinetes dentales y de fisioterapia tratan datos de salud, categoría especial del artículo 9 del RGPD; la designación de DPO resulta obligatoria conforme al artículo 37.1.c cuando el tratamiento es a gran escala y, en España, conforme al artículo 34.1.l de la LOPDGDD para los centros con obligación legal de mantener historias clínicas.

¿Qué funciones tiene exactamente el DPO según el RGPD?

El artículo 39 del RGPD le atribuye funciones de información y asesoramiento al responsable y a su personal, supervisión del cumplimiento normativo, asesoramiento en evaluaciones de impacto, cooperación con la autoridad de control y actuación como punto de contacto con la AEPD. El artículo 38.6 exige que ejerza estas funciones con independencia y sin conflicto de intereses con otras tareas que pueda desempeñar dentro de la organización.

¿Qué diferencia hay entre este servicio y la adecuación RGPD en Tenerife?

La adecuación RGPD construye el sistema completo de cumplimiento —registro de actividades, cláusulas, contratos con encargados—; el DPO externo es la figura de supervisión formal ante la AEPD. Si tu organización todavía no tiene el sistema implantado, normalmente empezamos por la adecuación RGPD en Tenerife y añadimos el DPO cuando el sector lo exige.

¿Qué sanciones aplica la AEPD si una organización obligada a tener DPO no lo designa?

No designar un DPO cuando es obligatorio se considera un incumplimiento de los artículos 37 a 39 del RGPD y se sanciona conforme al artículo 83.4, con multas de hasta 10.000.000 de euros o el 2 % del volumen de negocio anual global, la cifra que resulte más alta. Si además se incumplen los principios de tratamiento o los derechos de los interesados, resulta aplicable el régimen más severo del artículo 83.5.

¿El DPO externo revisa los contratos con las plataformas de reservas y otros proveedores turísticos?

Sí. Externalizar la gestión de reservas o el check-in digital a una plataforma o a un touroperador no traslada la responsabilidad del establecimiento como responsable del tratamiento: sigue siendo necesario un contrato de encargo del tratamiento conforme al artículo 28 del RGPD con cada proveedor que accede a datos de huéspedes. Revisamos periódicamente que esos contratos están en vigor y cubren la actividad real de tu establecimiento.

¿Cuánto cuesta un DPO externo en Tenerife?

No publicamos una tarifa fija porque depende del tamaño de la organización, del número de tratamientos y de si el sector exige requisitos adicionales. Lo confirmamos en la llamada o reunión inicial. Puedes consultar las variables que mueven el precio en nuestro artículo sobre el precio del DPO externo.