Dos años después de la aprobación del Reglamento Europeo 2016/679 de Protección de Datos («RGPD»), y de la Ley Orgánica 3/2018 de Datos Personales y Garantía de los Derechos Digitales («LOPDGDD»), el cumplimiento de la normativa en materia de protección de datos ha creado una brecha en el ámbito empresarial.
El estudio de GoDaddy, «Radiografía de las pequeñas empresas y autónomos españoles» revela que la mitad de los autónomos no aplican el RGPD en su negocio. Ello ha motivado un sinfín de sanciones, que han llevado al cierre a diferentes pymes y autónomos.
Pero el cumplimiento va más allá de contar con la documentación legal necesaria, sino que además de firmar contratos de confidencialidad y de recabar el consentimiento, los responsables del tratamiento deben tener diariamente actualizadas las actividades de su empresa que impliquen un tratamiento de datos personales (véase encargados, software, equipos, procedimientos de seguridad…).
Para ello, la mayoría de las razones sociales cuentan con un asesoramiento especializado por consultoras en protección de datos. Aunque hay que diferenciar lo que es la elaboración de la documentación, y la resolución de consultas técnicas y jurídicas, con las labores de otra figura obligatoria para determinadas empresas: el Delegado de Protección de Datos (DPD).
¿Qué es el Delegado de Protección de Datos?
El Delegado de Protección de Datos (“DPD”) es una figura surgida del Reglamento General de Protección de Datos 2016/679 (“RGPD”). Se trata de un cargo regulado en el artículo 39 de dicho Reglamento, que tiene como funciones:
- Informar y guiar al Responsable del tratamiento y a los empleados.
- Supervisar el cumplimiento de la legislación de protección de datos.
- Asesorar en las evaluaciones de impacto.
- Estar en contacto y cooperar con la Autoridad de Control.
Cabe subrayar el nexo de unión que representa el DPD entre la empresa y el organismo competente (Agencia Española de Protección de Datos). Es una diferencia importante respecto a lo que es la consultoría en sí, ya que de esta manera la organización se encuentra representada a todos los efectos frente a la Autoridad de Control.
Esta figura no puede coincidir con la misma persona que ostente el cargo de Responsable de tratamiento dentro de la misma empresa, en caso de que se dispusiera de un servicio interno a tal efecto.
¿Estoy obligado a contar con esta figura en mi empresa?
No podemos caer en la peligrosa equivocación de pensar que esta es una figura que únicamente debe ser implantada por grandes empresas y organismos públicos. Las pymes y autónomos también pueden estar obligadas a disponer de un Delegado de Protección de Datos, dependiendo de su actividad y del tipo de tratamiento de datos que realicen de sus clientes y usuarios.
Las entidades que sí que tendrán que tener DPD, en todo caso, serán los organismos públicos, y las empresas que lleven a cabo una observación habitual y sistemática de datos de interesados a gran escala (mercadotecnia; elaboración de perfiles; seguimiento de la ubicación; programas de fidelidad…).
No estando obligados, en numerosas ocasiones aconsejamos contar con un Delegado de Protección de Datos ya que no sólo es una garantía, sino que permite agilizar trámites y procedimientos, así como dotar a todas a las organizaciones de calidad y profesionalidad de cara a sus clientes y usuarios, siendo un buen modo de demostrar la voluntad de cumplimiento por parte de la organización.
Por otro lado, puedes necesitar obligatoriamente esta figura, según sus tratamiento de datos, las organizaciones contempladas en el artículo 34 de la LOPDGDD: colegios profesionales; centros sanitarios; centros docentes; entidades con comunicaciones electrónicas; establecimientos financieros; entidades aseguradoras; federaciones deportivas…
Aquellas empresas que no designen un Delegado de Protección de Datos, pese a estar obligadas, estarán cometiendo una infracción tipificada como «grave», lo que puede suponer multas de una cuantía del 2% de la facturación anual del ejercicio financiero anterior a la infracción. En nuestra web ya hablamos con anterioridad de una sanción de 25.000 euros a una empresa de informática por no tener delegado de protección de datos (consultar noticia).
Desde AYS INNOVA creemos en la excelencia empresarial, y por ello ya hemos adaptado y ejercemos como DPD en todo tipo de empresas, tanto con autónomos como en grupos nacionales e internacionales. Pídenos una valoración sin compromiso para llevar a tu negocio al siguiente nivel.
*******************************************
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales). > Legislación nacional española.
