Las tareas de los delegados de la protección de datos

Desde la introducción del Reglamento General de Protección de Datos (RGPD), la estructura organizativa de las empresas y las autoridades públicas ha cambiado fundamentalmente en lo que respecta a su protección de los datos personales. Por ejemplo, el RGPD delimita más claramente las tareas de cada organismo y se da importancia a los responsables de la protección de datos. La protección de los datos de las personas físicas está en primer plano.

Pero, ¿cuáles son las tareas de los delegados de la protección de datos? ¿Cómo pueden garantizar las empresas que dichas tareas cumplen los requisitos del RGPD? En este artículo respondemos a las preguntas más importantes sobre el tema.

Los hechos más importantes en resumen

• Los delegados internos y externos de la protección de datos asesoran a los organismos responsables (empresas o autoridades) y les ayudan a aplicar la normativa sobre protección de datos en la empresa.
• Los delegados de privacidad de datos externos o internos de la empresa son contactos dentro y fuera de la empresa: asesoran no sólo a los empresarios, a los empleados implicados y, en su caso, al comité de empresa, sino también a sus clientes y socios contractuales. También colaboran estrechamente con la autoridad de control.
• Entre las tareas de los delegados de la protección de datos figura también la formación continua de los empleados. Forman parte integrante de los cursos de formación sobre protección de datos en los que los empleados aprenden más sobre la normativa de protección de datos.

¿Están obligadas las empresas a nombrar un delegado de protección de datos?

Antes de la reestructuración del RGPD, los delegados de la protección de datos también eran responsables de las tareas operativas; desde la reorganización, solo se les ha encomendado la tarea de apoyar a los organismos responsables en sus propias tareas de protección de datos. Los organismos responsables, por su parte, son responsables de garantizar que la protección de datos se aplique eficazmente, se organice de forma demostrable y se controle suficientemente.

Aunque según el RGPD no existe obligación legal de nombrar a un delegado de la protección de datos en la mayoría de los casos, puede tener mucho sentido buscar apoyo externo en el cumplimiento de los requisitos de protección de datos. Cada empresa debe decidir por sí misma si necesita un delegado de protección de datos externo o interno. En otro artículo, enumeramos las ventajas y desventajas de ambas opciones. 

La empresa o autoridad también debe funcionar y ser supervisada eficazmente sin un responsable de la protección de datos. Los delegados de la protección de datos pueden actuar como una especie de "pequeña autoridad de control" y asumir una función consultiva dentro de la empresa o autoridad. Su tarea consiste en desarrollar y aplicar conceptos de supervisión junto con el organismo competente.

¿Qué exige el RGPD a las empresas?

La mayoría de las empresas y autoridades públicas se ven afectadas por los retos de la protección de datos. En la era digital, el tratamiento automatizado de datos personales se produce en casi todas las empresas. Las obligaciones de protección de datos resultantes son el punto de partida del RGPD: El objetivo es garantizar que todas las empresas trabajen de conformidad con la protección de datos y manejen los datos de las personas físicas de forma responsable. 

Las entidades responsables están obligadas a demostrar que cumplen los requisitos legales (la llamada accountability). Las empresas y las autoridades deben conocer sus derechos y obligaciones y organizar sus operaciones de manera que cumplan los requisitos. Si no lo hacen, se dice que son culpables de negligencia organizativa, de la que pueden ser responsables y estar sujetas a costosas sanciones.

Las obligaciones de la empresa incluyen desarrollar un concepto de protección de datos, instruir adecuadamente a los empleados y llevar a cabo controles internos de protección de datos. Aquí es donde entran en juego los delegados de la protección de datos: Como personas de contacto internas, se les confía la supervisión del cumplimiento del RGPD y ayudan a los organismos responsables a minimizar el riesgo de responsabilidad..

Además del delegado de protección de datos como órgano de control interno, existen órganos de control externos que supervisan directa o indirectamente a los organismos estatales:

• La autoridad de control competente: Como organismo público o autoridad de control, tiene el mandato de vigilar el cumplimiento de las leyes de protección de datos en las empresas.
• Las personas afectadas o asociaciones: Al ejercer sus derechos (por ejemplo, iniciar acciones legales en caso de infracción), los afectados pueden ejercer influencia y control sobre la protección de datos en las empresas. En algunos casos, ceden sus derechos a asociaciones especializadas con este fin o actúan con la prensa para ejercer su influencia. En consecuencia, los afectados suelen representar el mayor riesgo para las empresas, porque se ven amenazados (a diferencia de la autoridad de control) no sólo con una sanción, sino también con la pérdida de su reputación.
• Comité de empresa: El comité de empresa se ocupa principalmente de los intereses de los empleados y, para ello, también del cumplimiento de las leyes de protección de datos, que sirven para proteger a los empleados.

Tareas principales de los delegados de protección de datos

Los delegados de protección de datos tienen dos áreas fundamentales: Consultoría y Supervisión.

De ello se deduce que, en primer lugar, asesoran sobre la aplicación del RGPD y, a continuación, revisan y supervisan la implementacion y la eficacia de la protección de datos.

Consultoría

Los delegados internos y externos de la protección de datos asesoran a los órganos responsables y les apoyan en la aplicación de la normativa de protección de datos dentro de la empresa. Para ello, pueden proponer estrategias y medidas organizativas. También apoyan a la dirección de la empresa en la resolución de problemas concretos:

• Informando a los responsables y empleados sobre las obligaciones en materia de protección de datos.
• Asesorar a los afectados sobre cuestiones relacionadas con el tratamiento de datos y los derechos que les asisten.
• Asesorar sobre la realización de evaluaciones de impacto de la protección de datos.

Los delegados de la protección de datos son contactos tanto dentro como fuera de la empresa: asesoran no sólo a los empresarios, a los empleados implicados y, en su caso, al comité de empresa, sino también a sus clientes, proveedores y socios contractuales.

En calidad de asesores, los delegados de la protección de datos asisten al comité de empresa. En este caso, no es infrecuente que se produzcan conversaciones de mediación entre el empresario y el comité de empresa, por lo que no sólo se requieren conocimientos especializados, sino también tacto y capacidad de negociación. En la mayoría de los casos, los delegados de la protección de datos tienen que actuar como mediadores neutrales.

También colaboran estrechamente con la autoridad supervisora responsable En este caso, los delegados de protección de datos forman una interfaz entre la empresa y la autoridad y colaboran estrechamente con ambas partes para aplicar los requisitos de protección de datos. Si la autoridad supervisora tiene preguntas relacionadas con la protección de datos para la empresa, suele dirigirse directamente al delegado de protección de datos como experto y representante de su empleador.

Los delegados de protección de datos informan a los responsables y a los empleados que participan en las operaciones de tratamiento sobre sus obligaciones en virtud de la ley de protección de datos. Además, los delegados de protección de datos asesoran a los responsables sobre las disposiciones de la ley de protección de datos y sobre cómo integrarlas en el proceso operativo. Para ello, pueden proponer estrategias concretas y medidas organizativas.

Elaboración de conceptos y directrices

Como expertos en normativa de protección de datos, los delegados de protección de datos ayudan en la creación de documentos legales en este ámbito. Entre ellos figuran directrices, acuerdos, uso de Internet o pautas sobre el alcance de la tramitación de las consultas de los afectados.

Por ejemplo, las infracciones en materia de protección de datos suelen tener que notificarse en un plazo de 72 horas. Este plazo tan breve presupone que existen procesos eficaces que permiten a cualquier empleado reconocer una violación de la protección de datos, y dar los pasos siguientes. El plazo de un mes para tramitar las consultas de los afectados también requiere una estructura y organización establecidas.

Para ello, los delegados de la protección de datos deben ayudar a sus empleadores a desarrollar y establecer dichos procesos y directrices.

Los delegados de la protección de datos también son responsables de asesorar sobre la preparación de declaraciones de protección de datos y documentación de protección de datos. La documentación sobre protección de datos, en particular, es importante para cumplir el deber de responsabilidad de la empresa.

Formación y entrenamiento de los empleados

Una de las tareas de los delegados de la protección de datos es ofrecer formación continua a los empleados que ocupan puestos de responsabilidad. En principio, la formación de los empleados es responsabilidad del empresario. Sin embargo, los delegados de la protección de datos se encargan de supervisarla y comprobar su cumplimiento. Por lo tanto, son parte integrante de los cursos de formación sobre protección de datos de los empleados. Así se garantiza que todos los empleados conozcan los requisitos de la protección de datos y los apliquen en su trabajo diario.

La puesta en práctica de la formación por parte de los delegados de la protección de datos no sólo garantiza la seguridad jurídica necesaria en cuanto al contenido, sino que también tiene un efecto psicológico: los empleados llegan a conocer a los delegados de la protección de datos como expertos en su campo y entran en contacto personal con ellos, lo que reduce el umbral de inhibición para hacerles preguntas y plantearles problemas también en su trabajo diario.

Además, los delegados de la protección de datos informan periódicamente sobre las innovaciones y las posibilidades de mejora, por ejemplo en un boletín o una circular.

Evaluación del impacto de la protección de datos

Para determinadas categorías de datos, las empresas y autoridades deben realizar una evaluación de impacto de la protección de datos. Esto implica que el delegado de la protección de datos aclare la necesidad o las cuestiones relacionadas con el tratamiento sobre cómo proceder. En algunos casos, esto también es necesario tras una consulta previa con la autoridad supervisora, de la que se encargan los delegados de la protección de datos.

Supervisión

Como interfaz entre la empresa y la autoridad de control, los delegados de la protección de datos supervisan el cumplimiento de las directrices de protección de datos.

• Cumplimiento de las obligaciones de protección de datos en el tratamiento de datos personales con arreglo al RGPD. El incumplimiento del RGPD representa un riesgo económico para las empresas debido a las numerosas autoridades supervisoras. Por lo tanto, es aún más importante para ellas utilizar herramientas en la gestión de riesgos, como la Priverion plataforma de protección de datos, que ayudan a implementar y supervisar las directrices de protección de datos.
• Verificación del cumplimiento de las políticas desarrolladas, por ejemplo, responsabilidades o formaciones
• Asignación de responsabilidades a otros empleados
• Sensibilización de los empleados
• La cooperación con la autoridad pública
• Cuando los controles los realice el empresario, por ejemplo sobre el cumplimiento del personal, los delegados de la protección de datos también deben participar.

Registros de actividades de tratamiento

Los responsables del tratamiento están obligados a crear un registro de actividades de tratamiento. Esto puede hacerse de forma especialmente fácil y eficaz con la Priverion plataforma de protección de datos. Los delegados de la protección de datos asesoran y comprueban que el registro esté completeness and consistency.

Competencias de los delegados de la protección de datos

Es importante que los delegados de la protección de datos sirvan al autocontrol de la empresa o autoridad, es decir, que también llamen la atención sobre las quejas y las faltas. Esto puede resultar desagradable para la dirección de la empresa o autoridad.

Para poder garantizar un control eficaz, los delegados de la protección de datos están siempre libres de instrucciones en el ejercicio de sus funciones, es decir, los responsables no influyen en su actuación y les conceden libertad en sus decisiones y actividades.

Para que los delegados de la protección de datos lleven a cabo sus tareas adecuadamente, cuentan con el apoyo de su empleador. El RGPD obliga a los responsables del tratamiento a proporcionar los recursos necesarios para que los delegados de la protección de datos puedan realizar su trabajo. 

En particular, los responsables del tratamiento otorgarán las siguientes facultades:

• Para recabar información que sirva para identificar las actividades de tratamiento en la empresa
• Para comprobar y analizar la licitud del tratamiento de datos
• Actuar a título consultivo e informativo frente al responsable del tratamiento.

Al mismo tiempo, también aclara quién es el responsable en caso de deficiencia:

• Supervisar el cumplimiento de las disposiciones de la ley de protección de datos no implica que el delegado de la protección de datos asuma la responsabilidad en caso de infracción.
• No es el delegado de la protección de datos, sino el organismo responsable el que tiene la obligación de tomar las medidas adecuadas para cumplir los requisitos legales y también de aportar pruebas de ello. El delegado de la protección de datos sólo actúa a título consultivo.
• El cumplimiento de la legislación sobre protección de datos, en particular el RGPD, es siempre responsabilidad del responsable del tratamiento, no del delegado de protección de datos.

Al mismo tiempo, los delegados de la protección de datos deben cumplir siempre las tareas mencionadas en interés de su empleador. Por lo tanto, es central teniendo en cuenta los riesgos . 

Esto significa que no sólo deben tener debidamente en cuenta el riesgo asociado a las operaciones de tratamiento por parte del afectado, sino que, en particular, también deben incluir el riesgo para la empresa en caso de infracción de la ley. 

En la práctica, esto significa adoptar un enfoque selectivo y pragmático en el desempeño de sus tareas, evaluando siempre los mayores riesgos para los afectados y los responsables del tratamiento y priorizando sus actividades en consecuencia.

Por el contrario, sin embargo, los delegados de la protección de datos no deben descuidar ninguna tarea o medida simplemente porque planteen un riesgo comparativamente bajo. Para los delegados de la protección de datos, esto se traduce en un equilibrio a veces complejo de las tareas que deben cumplir, lo que requiere cierto tacto.

¿Es usted delegado de protección de datos o está pensando en serlo?

Como delegado de la protección de datos de una empresa o de una entidad externa, tiene que organizar a diario multitud de tareas. Su principio rector es siempre cumplir todas las normas de protección de datos.

En este campo, usted es la persona que mejor conoce la protección de datos en su empresa o autoridad, y proporciona asesoramiento y apoyo tanto a empleados como a superiores y externos. Esto hace que el trabajo sea cualquier cosa menos aburrido y exige profesionalidad y sensibilidad en el trato con sus compañeros.

El equilibrio entre el cumplimiento de todas las normas de protección de datos y la prioridad de los intereses del empleador puede ser especialmente difícil. Siempre hay que sopesar debidamente los riesgos para el empresario y para el afectado. Los ámbitos con mayores riesgos deben priorizarse en consecuencia. En la estresante rutina diaria, sin embargo, no deben olvidarse los ámbitos menos arriesgados.

Recomendación de lectura: En este artículo examinamos más de cerca las herramientas de control individual del delegado de la protección de datos.