Menú

El Delegado de Protección de datos será obligatorio para todas las empresas de más de 50 empleados

La figura del DPO deberá contar con conocimientos especializados en la práctica del Derecho y, particularmente, en la protección de datos.

La figura del DPO deberá contar con conocimientos especializados en la práctica del Derecho y, particularmente, en la protección de datos.
Alejandro Prieto. Grupo Adaptalia. | Grupo Adaptalia

A principios del mes de marzo se aprobó en Consejo de ministros, el Anteproyecto de ley que supondrá la transposición o incorporación a la normativa española de la conocida Directiva "Whistleblowing". Esta normativa, entre otras cuestiones, trata de garantizar que los sujetos que alerten o denuncien a través del canal de denuncias internas, una mala práctica, negligencia o incumplimiento legal en las empresas, estén adecuadamente protegidos.

Ligado a esta obligación, todas aquellas empresas que tengan más de 50 empleados, y por lo tanto, que tengan la obligación de tener un canal de denuncias, deberán designar un Delegado de Protección de datos o DPO que supervise que el tratamiento de datos de la compañía se desarrolla adecuadamente. Libre Mercado ha entrevistado a Alejandro Prieto, responsable del departamento de Protección de Datos de Grupo Adaptalia.

1.- Pero ¿Qué es un Delegado de Protección de Datos?

El Delegado de protección de datos o DPO, es la figura, persona física o jurídica, que opera como garante del cumplimiento de la normativa en materia de protección de datos de carácter personal en las organizaciones.

Esta figura deberá contar con conocimientos especializados en la práctica del Derecho y, particularmente, en el ámbito de la protección de datos. Su cometido principal es informar, asesorar y supervisar el cumplimiento de lo dispuesto en la normativa vigente sobre protección de datos.

Por lo tanto, el DPO, debe estar implicado en todas las cuestiones que puedan afectar al tratamiento de protección de datos por parte de las compañías, para que participe y asesore de manera imparcial sobre la manera adecuada de realizar cualquier tratamiento, operación o actividad que implique un tratamiento de datos de carácter personal.

2.- ¿Qué empresas están obligadas a designar un DPO?

El Reglamento general de protección de datos 679/2016 de la UE, introdujo algunos supuestos de obligatoriedad, como son las Administraciones públicas, empresas que desarrollen tratamientos de datos sensibles a gran escala, o compañías que lleven a cabo tratamientos que supongan la observación habitual y sistemática de interesados a gran escala. Además de ello, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales 3/2018 amplió los supuestos de obligatoriedad siendo algunos de los más habituales los establecimientos de inversión, las entidades que desarrollen informes comerciales en base al perfil de los interesados, centros sanitarios, o las federaciones deportivas cuando traten datos de menores de edad.

3.- ¿Cuál es la nueva obligación nacida del Anteproyecto de Whistleblowing?

El artículo 34 del anteproyecto señala "Las entidades obligadas a disponer de un sistema interno de comunicaciones [es decir, las organizaciones de más de 50 trabajadores] así como los terceros externos que en su caso lo gestionen (...), deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo, incluido dicho sistema interno de comunicaciones".

Por lo tanto, está obligación ampliará de manera masiva la necesidad de contar con delegados de protección de datos, ya que no solo se tratará de determinar su obligatoriedad por el tipo de actividad o tratamiento, sino por el número de empleados que tenga la compañía.

No cabe duda de que la normativa de protección de datos cada vez se ha ido situando en un punto más central y principal de cualquier actividad empresarial y que su evolución la ha situado como uno de los elementos principales de cumplimiento y riesgo para cualquier compañía. Tanto la aparición de nuevas normativas y legislaciones que han introducido modificaciones que afectan al tratamiento de datos, como a través de la aplicación que las diferentes autoridades europeas han ido aplicando a la normativa de protección de datos, la normativa ha ido tomando complejidad y profundidad, de manera que sin expertos en la misma las empresas estarán desprotegidas.

4.- ¿Había algún antecedente similar?

En este sentido y aunque no existía la obligatoriedad de contar con un Delegado de Protección de datos, la LOPDGDD en su artículo 24, ya alude a los canales de denuncias estableciendo algunos parámetros como la licitud del dicha creación, así como el deber de informarlo a empleados y terceros, la limitación en el acceso de los datos únicamente a las personas que desarrollen este control interno, la posibilidad de interponer la denuncia de manera anónima, la necesidad de contar con medidas de protección para garantizar la confidencialidad, así como el plazo de conservación y análisis de la posible denuncia presentada.

Como se podía apreciar por lo señalado en este artículo 24, la LOPDGDD ya estaba anticipando que dicho tratamiento puede tener particularidades y riesgos muy específicos que se deben valorar cuidadosamente a la hora de determinar las medidas para garantizar la confidencialidad de la denuncia, el tratamiento de datos posterior o las medidas de seguridad que debemos adoptar para evitar un problema con las autoridades de control.

5.- En caso de no designar un DPO, ¿Qué sanciones habrá?

A tenor de lo establecido en los artículos 70 y siguientes de la LOPDGDD, así como de lo establecido en el 83 del RGPD, la no designación de un DPO en aquellos casos en los que sea obligatorio supondría una infracción grave, lo que podría alcanzar sanciones de hasta 10 millones de euros.

Hasta el momento las autoridades no han llegado a esas cifras, pero sí tenemos sanciones que rondan los 50.000 euros. Además, estas sanciones podrían aumentar ya que no contar con esta figura podría suponer que otros aspectos de la normativa se incumplieran, como por ejemplo que no se estuvieran adoptando medidas adecuadas para proteger la confidencialidad de la información, por lo que esto supondría un alcance que haría temblar la economía de cualquier empresa.

Por lo tanto, la designación de un delegado de protección de datos será fundamental en un amplio sector del tejido empresarial español, poniendo más en auge, si cabe, esta figura, que resultará fundamental, no solo para evitar sanciones, sino que será un elemento obligatorio para que los clientes sigan contando con los servicios de las empresas obligadas.

En Libre Mercado