Las tareas de los delegados de la protección de datos

Desde la introducción del Reglamento General de Protección de Datos (RGPD), la estructura organizativa de las empresas y las autoridades públicas ha cambiado fundamentalmente en lo que respecta a su protección de los datos personales. Por ejemplo, el RGPD delimita más claramente las tareas de cada organismo y se da importancia a los delegados de protección de datos. La protección de los datos de las personas físicas está en primer plano.

Pero, ¿cuáles son las tareas de los delegados de la protección de datos? ¿Cómo pueden las empresas garantizar que dichas tareas cumplan los requisitos del RGPD? En este artículo, respondemos a las preguntas más importantes sobre el tema.

Los datos más importantes de un vistazo

• Los delegados de protección de datos internos y externos asesoran a los organismos responsables (empresas o autoridades) y les apoyan en la aplicación de la normativa de protección de datos dentro de la empresa.
• Los delegados de la protección de datos externos o de la empresa son contactos tanto dentro como fuera de la empresa: asesoran no sólo a los empresarios, a los empleados implicados y, en su caso, al comité de empresa, sino también a sus clientes y socios contractuales. También colaboran estrechamente con la autoridad supervisora.
• Las tareas de los delegados de protección de datos también incluyen la formación continua de los empleados del organismo responsable. Forman parte de los cursos de formación sobre protección de datos en los que los empleados aprenden más sobre la normativa de protección de datos.

¿Están las empresas obligadas a nombrar un delegado de la protección de datos?

Antes de la reestructuración del RGPD, los delegados de la protección de datos eran también responsables de tareas operativas; desde la reorganización, solo les queda la tarea de apoyar a los organismos responsables en sus propias tareas de protección de datos. Los organismos responsables, por su parte, son los encargados de garantizar que la protección de datos se aplique efectivamente, se organice de forma demostrable y se controle suficientemente.

Aunque según el RGPD, no hay obligación legal de nombrar un delegado de la protección de datos en la mayoría de los casos, puede tener mucho sentido buscar apoyo externo para cumplir con los requisitos de protección de datos. Cada empresa debe decidir si necesita un delegado de protección de datos externo o interno para este fin. En otro artículo, enumeramos las ventajas e inconvenientes de ambas opciones. 

La empresa o autoridad también debe funcionar y ser supervisada eficazmente sin un delegado de la protección de datos. Los delegados de la protección de datos pueden actuar como una "pequeña autoridad de supervisión" y asumen un papel de asesoramiento dentro de la empresa o la autoridad. Su tarea consiste en desarrollar y aplicar conceptos de supervisión con el organismo responsable.

¿Qué exige el RGPD a las empresas?

La mayoría de las empresas y autoridades públicas se ven afectadas por los desafíos de la protección de datos. En la era digital, el tratamiento automatizado de datos personales se produce en casi todas las empresas. Las obligaciones de protección de datos resultantes son el punto de partida del RGPD: El objetivo es garantizar que todas las empresas trabajen de acuerdo con la protección de datos y traten los datos de las personas físicas de forma responsable. 

Así, los organismos responsables están obligados a demostrar que cumplen con los requisitos legales (la llamada obligaciones de rendición de cuentas). Las empresas y las autoridades públicas deben conocer sus derechos y obligaciones y organizar sus operaciones de manera que cumplan los requisitos. Si no lo consiguen, esto se conoce como fallo de organización, por lo que pueden ser responsables y estar sujetos a costosas sanciones.

Las obligaciones de la empresa incluyen el desarrollo de un concepto de protección de datos, instruir correctamente a los empleados adecuados, y llevar a cabo controles internos para la protección de datos. Aquí es donde entran en juego los delegados de la protección de datos: Como personas de contacto internas, se les confía la supervisión del cumplimiento del RGPD y ayudan a los organismos responsables a minimizar el riesgo de responsabilidad.

Además del delegado de la protección de datos como organismo de control interno, hay organismos de control externos que controlan directamente o indirectamente a los organismos gubernamentales:

• La autoridad supervisora competente: Como organismo público o autoridad de control, tiene el mandato de vigilar el cumplimiento de las leyes de protección de datos en las empresas.
• Personas o asociaciones afectadas: Al ejercer sus derechos (por ejemplo, emprender acciones legales en caso de infracción), los afectados pueden ejercer influencia y control sobre la protección de datos en las empresas. En algunos casos, ceden sus derechos a asociaciones especializadas para este fin o actúan con la prensa para ejercer su influencia. De este modo, los afectados suelen ser el mayor riesgo para las empresas, porque se ven amenazados (a diferencia de la autoridad de control) no sólo con una sanción, sino también con la pérdida de reputación.
• Comité de empresa: El comité de empresa se ocupa principalmente de los intereses de los trabajadores y, para ello, también del cumplimiento de las leyes de protección de datos, que sirven para proteger a los trabajadores.

Tareas centrales de los delegados de la protección de datos

Los delegados de la protección de datos tienen dos áreas fundamentales: El asesoramiento y la supervisión.

El resultado es que, en primer lugar, asesoran sobre la aplicación del RGPD para, posteriormente, revisar y supervisar la aplicación y la eficacia de la protección de datos.

Consultoría

Delegados de la protección de datos internos y externos asesoran los órganos responsables y apoyan en la aplicación de la normativa de protección de datos dentro de la empresa. Para ello, pueden proponer estrategias y medidas organizativas. También apoyan a la dirección de su empresa en la resolución de problemas concretos:

• Informar a los responsables y empleados sobre las obligaciones de protección de datos.
• Asesorar a los afectados sobre cuestiones relacionadas con el tratamiento de datos y los derechos que les asisten
• Asesoramiento sobre la aplicación de las evaluaciones de impacto de la protección de datos

Los delegados de la protección de datos son personas de contacto dentro y fuera de la empresa: asesoran a los empresarios, a los trabajadores implicados y, si es necesario, al comité de empresa, a sus clientes, proveedores y socios contractuales.

Los delegados de la protección de datos asisten al comité de empresa en calidad de asesores. En este caso, no es infrecuente que se mantengan conversaciones de mediación entre el empresario y el comité de empresa, por lo que no sólo se requiere experiencia, sino también tacto y capacidad de negociación. En la mayoría de los casos, los delegados de la protección de datos tienen que actuar como mediadores neutrales.

También colaboran estrechamente con la autoridad supervisora responsable. En este caso, los delegados de la protección de datos forman un interfaz entre la empresa y la autoridad y colaborar estrechamente con ambas partes para aplicar los requisitos de protección de datos. Si la autoridad de control tiene preguntas relacionadas con la protección de datos para la empresa, suele dirigirse directamente al delegado de la protección de datos como experto.

Los delegados de la protección de datos informan a los responsables y a los empleados que participan en las operaciones de tratamiento sobre sus obligaciones en virtud de la ley de protección de datos. Además, los delegados de la protección de datos asesoran a los responsables sobre las disposiciones de la ley de protección de datos y sobre cómo integrarlas en el proceso operativo. Para ello, pueden proponer estrategias concretas y medidas organizativas.

Elaboración de conceptos y directrices

Como expertos en la normativa de protección de datos, los delegados de la protección de datos ayudan crear de documentos legales en este ámbito. Se trata de políticas, acuerdos, uso de Internet o directrices sobre el alcance de las solicitudes de los afectados.

Para ello, el delegado de la protección de datos interviene para aclarar la necesidad o las cuestiones relacionadas sobre cómo proceder. En algunos casos, esto también es necesario tras una consulta previa a la autoridad de control, de la que se encargan los delegados de protección de datos.

Violaciones de la protección de datos

Las violaciones de la protección de datos, por ejemplo, suelen tener que notificarse en un plazo de 72 horas. Este plazo tan breve presupone la existencia de procesos eficaces que permitan a cada empleado detectar una violación de la protección de datos, y dar los pasos siguientes. El plazo de un mes para procesar las consultas de los afectados también requiere una estructura y organización establecidas.

Para ello, los delegados de la protección de datos deben apoyar a sus empleadores en el desarrollo y establecimiento de dichos procesos y directrices.

Los delegados de protección de datos también son responsables de asesorar en la preparación de las declaraciones y la documentación de protección de datos. La documentación sobre la protección de datos, en particular, es importante para cumplir con el deber de la la rendición de cuentas.

Educación y formación de los empleados

Una de las tareas de los delegados de protección de datos es comprobar si los empleados de las oficinas responsables han recibido formación adicional. En contra de lo que se suele esperar, la formación de los empleados suele ser responsabilidad del empresario. Sin embargo, los delegados de protección de datos son responsables de supervisar esto y comprobar que se ha hecho correctamente. Por lo tanto, las pruebas son una parte integral de los cursos de formación para los empleados. Se trata de garantizar que todos los empleados estén familiarizados con los requisitos de protección de datos y los apliquen en su trabajo diario.

La revisión de los cursos de formación por parte de los delegados de protección de datos no sólo garantiza la necesaria seguridad jurídica en cuanto al contenido, sino que también tiene un efecto psicológico: De este modo, los empleados llegan a conocer a los delegados de la protección de datos como expertos en su campo y entran en contacto personal con ellos, lo que reduce el umbral de inhibición para hacerles preguntas y plantearles problemas en la vida laboral cotidiana.

Los delegados de protección de datos también informan periódicamente sobre las novedades y las posibilidades de mejora, por ejemplo en un boletín o una circular.

Evaluación del impacto de la privacidad de los datos

Para determinadas categorías de datos, las empresas y las autoridades públicas deben realizar una evaluación de impacto de la protección de datos. Esto implica que el delegado de protección de datos aclare la necesidad o las cuestiones relacionadas con el procesamiento sobre cómo proceder. En algunos casos, esto también es necesario tras una consulta previa a la autoridad de control, que realizan los delegados de la protección de datos.

Monitorización

Como interfaz entre la empresa y la autoridad de control, los delegados de protección de datos supervisan el cumplimiento. con las directrices de protección de datos. Ellos monitorean:

• Cumplimiento de las obligaciones de protección de datos en el tratamiento de datos personales tras el RGPD. El incumplimiento del RGPD representa un riesgo económico para las empresas debido a las numerosas autoridades de control. Por ello, es aún más importante que utilicen herramientas en la gestión de riesgos, como la plataforma de protección de datos Priverion, que ayuda a aplicar y supervisar las políticas de protección de datos.
• Verificación del cumplimiento de las políticas desarrolladas, por ejemplo, responsabilidades o piezas de formación
• Asignación de responsabilidades a otros empleados
• La sensibilización de los empleados
• Cooperación con la autoridad pública
• Si controles son realizados por el empresario, por ejemplo para garantizar que los empleados cumplen las directrices, los delegados de la protección de datos también deben participar.

Registro de actividades de tratamiento

Los responsables están obligados a crear un registro de actividades de tratamiento. Esto es particularmente fácil y eficiente con la plataforma de protección de datos Priverion. Los delegados de protección de datos están disponibles para asesorar y comprobar que el registro esté completo y sea coherente.

Competencias de los delegados de la protección de datos

Es importante que los delegados de protección de datos sirvan para el autocontrol de la empresa o la autoridad, es decir, que también llamen la atención sobre las quejas y las faltas. Esto también puede ser desagradable para la dirección de la empresa o la autoridad.

No obstante, para poder garantizar un control eficaz, los delegados de la protección de datos están siempre libres de instrucciones en el ejercicio de sus funciones, es decir, los responsables no tienen ninguna influencia en sus acciones y les conceden libertad en sus decisiones y actividades.

Para que los delegados de la protección de datos puedan llevar a cabo sus tareas adecuadamente, cuentan con el apoyo de su empleador. El RGPD obliga a los responsables del tratamiento a proporcionar los recursos necesarios para que los delegados de la protección de datos puedan realizar su trabajo. 

En particular, los siguiente poderes deben ser concedidas por los responsables:

• La recopilación de información utilizada para identificar las actividades de tratamiento en la empresa.
• Revisar y analizar la legalidad del tratamiento de datos
• Actuar con carácter consultivo e informativo frente al responsable del tratamiento.

Al mismo tiempo, también aclara quién es el responsable en caso de que se produzca una deficiencia:

• El control del cumplimiento de las disposiciones de la ley de protección de datos no implica que el delegado de protección de datos asuma la responsabilidad de una infracción.
• No es el delegado de protección de datos, sino el organismo responsable el que tiene la obligación de tomar las medidas adecuadas para cumplir con los requisitos legales y también de aportar pruebas de ello. El delegado de protección de datos sólo actúa en calidad de asesor.
• El cumplimiento de la ley de protección de datos, en particular el RGPD, es siempre responsabilidad del responsable del tratamiento, no del delegado de protección de datos.

Al mismo tiempo, los delegados de protección de datos están obligados a cumplir siempre las tareas mencionadas en interés de su empleador. La tarea central es, por tanto, trabajar de forma orientada al riesgo . 

Esto significa que no sólo deben considerar debidamente el riesgo asociado a las operaciones de tratamiento por parte del interesado, sino también, en particular, el riesgo para la empresa en caso de infracción de la ley. 

En la práctica, esto significa tomar un enfoque selectivo y pragmático para el cumplimiento de sus tareas, siempre para asumir uno de los mayores riesgos para las personas afectadas y el responsable y, en consecuencia, priorizar sus actividades.

Sin embargo, los delegados de protección de datos no deben descuidar ninguna tarea o medida simplemente porque suponga un riesgo comparativamente bajo. Para los delegados de protección de datos, esto se traduce en un equilibrio a veces complejo de las tareas a realizar, que requiere cierta sensibilidad.

¿Es usted delegado de la protección de datos o está pensando en serlo?

Como delegado de protección de datos de la empresa o externo, tiene una multitud de tareas que organizar a diario. Su principio rector es siempre el cumplimiento de todas las normas de protección de datos.

En este campo, usted es la persona que mejor conoce la protección de datos en su empresa o autoridad y proporciona asesoramiento y apoyo a los empleados, a los superiores y a las partes externas. Esto hace que el trabajo sea todo menos aburrido y exige profesionalidad y sensibilidad en el trato con los compañeros.

El equilibrio entre el cumplimiento de todas las normas de protección de datos y la prioridad de los intereses del empresario puede ser especialmente difícil. Siempre debe sopesar debidamente los riesgos para su empleador y para la persona afectada. Los campos con mayores riesgos deben ser priorizados en consecuencia. Sin embargo, en la estresante rutina diaria, no hay que olvidar las áreas de menor riesgo.

No perder la visión de conjunto entre todos estos requisitos y cumplir con todas las obligaciones es el verdadero arte de un responsable de la protección de datos. Las ventajas que la Plataforma de protección de datos de Priverion son muy valoradas.

¿Necesita apoyo en materia de derecho de protección de datos? Nuestro equipo está formado por expertos en derecho de protección de datos, informática y seguridad. Estaremos encantados de apoyarle en la aplicación de los requisitos de protección de datos. Póngase en contacto en cualquier momento para una consulta inicial sin compromiso.

Sugerencia de lectura: En este artículo, examinamos más de cerca las herramientas de control individual del responsable de la protección de datos.