Riesgos para los delegados de privacidad de datos internos y externos

Las violaciones de datos ocurren todo el tiempo y en todas partes. Sin embargo, para las empresas es un gran shock cuando, a pesar de toda su precaución, se produce una violación de datos en su propia empresa. Los delegados de la protección de datos tienen la tarea de minimizar este riesgo y evitar así consecuencias financieras y legales de gran alcance. Pero, ¿quién es el responsable en un caso así? ¿Qué deben tener en cuenta las empresas y los responsables de cumplimiento? Delegado de protección de datos interno o externo: ¿qué riesgos conllevan las opciones? En este artículo, respondemos a las preguntas más importantes sobre el tema.

Lo más importante de un vistazo

• sin compromiso. Con la RGPD en vigor, mayores requisitos de protección de datos aplican. Las empresas están obligadas a implantar procesos de protección de datos y, si es necesario, a nombrar un delegado de la protección de datos.
• El riesgo de responsabilidad civil también ha aumentado. En caso de incumplimiento del RGPD, tanto las empresas como los delegados de la protección de datos pueden ser responsables, y multas relacionadas con el volumen de negocios en millones son posibles. Algunos países, como Suiza, incluso sólo conocen las multas personales.
• Los delegados de protección de datos de la empresa son nombrados internamente y, por tanto, gozan de protección especial contra el despido. Se benefician de una exención de responsabilidad y tienen que recibir una formación adecuada.
• En el caso de un delegado de la protección de datos externo, la responsabilidad puede acordarse individualmente a favor de la empresa. El personal externo tampoco está sujeto a ningún conflicto de intereses y tiene una experiencia práctica más profunda en materia de privacidad de datos.

¿Qué hacen los delegados de la protección de datos?

La reglamento general de protección de datos (RGPD) que entró en vigor en 2018 ha dado lugar a requisitos más estrictos de protección de datos para las empresas. En concreto, se trata de los principios de licitud, limitación de la finalidad y transparencia de los datos y su tratamiento. Las infracciones del RGPD pueden dar lugar a multas, en millones.

Los delegados de la protección de datos de las empresas (DPD) se encargan del control y seguimiento los requisitos de protección de datos del GDPR. Se trata del autocontrol de la empresa, comprobando si se cumple la normativa del RGPD se cumplen para evitar reclamaciones por daños y perjuicios contra la empresa.

Además de supervisar y controlar la empresa, los delegados de la protección de datos también actúan en calidad de asesores e informadores. Trabajan estrechamente con la dirección para garantizar el nivel de protección de datos acordado. También existe una estrecha colaboración con la autoridad de control responsable.

La introducción del RGPD ha aumentado considerablemente el alcance de las tareas y actividades de los delegados de la protección de datos. Esto también conlleva una mayor responsabilidad, por lo que los empleados que asumen este cargo tienen obligaciones más amplias.

¿Quién debe contratar a un delegado de la protección de datos?

En algunos casos, las empresas pueden estar obligadas a nombrar delegados de la protección de datos internos. En Alemania, este es siempre el caso si al menos 20 personas son encargados permanentemente del tratamiento automatizado de datos personales.

Además, los siguientes casos hacen necesario un interno delegado de la protección de datos (Art. 37 RGPD):

• El tratamiento de los datos lo realiza una autoridad pública u otro organismo público.
• La actividad principal de la empresa consiste en el tratamiento de datos personales especiales que requiere un seguimiento sistemático (especialmente en el caso del tratamiento automatizado de datos).
• La actividad principal de la empresa consiste en el extenso tratamiento de datos personales sensibles de categorías especiales (Art. 9 RGPD).
• La empresa trata datos personales sobre delitos o condenas penales (Art. 10 RGPD).

En consecuencia, la necesidad de un delegado de la protección de datos depende de la actividad principal y del alcance del tratamiento. Además, los datos se dividen en diferentes categorías (Art. 9 RGPD).

¿Cuánto cuesta un delegado de protección de datos?

Es comprensible que la cuestión del coste de un delegado de la protección de datos surja cada vez con más frecuencia. En particular, las pequeñas y medianas empresas suelen tener que arreglárselas con un presupuesto manejable para cumplir los requisitos legales.

En el caso de un delegado de la protección de datos interno, los costes dependen de su salario anterior. Un aumento de sueldo puede tener sentido si el empleado asuma tareas adicionales. En este caso, sin embargo, es posible que tenga que ajustar o ampliar el contrato de trabajo en consecuencia. Además, la solución interna puede incurrir en costes adicionales de formación y perfeccionamiento y la inversión de tiempo en nuevas tareas, que luego falta en otros lugares.

En el caso de un delegado de la protección de datos externo, los honorarios dependen de sus conocimientos personales, su cualificación única, el tiempo que dediquen y los requisitos de la empresa para el servicio. Los costes también pueden variar en función de demanda del mercado.

La solución externa permite un mejor cálculo de los costes, ya que sólo se generan costes mensuales para los delegados de la protección de datos externos. No hay costes adicionales, menos transparentes, por ejemplo, de formación continua o de reestructuración operativa.

¿Necesita apoyo en materia de protección de datos? Nuestro equipo tiene una gran experiencia en la ley de protección de datos, la informática y la seguridad y estará encantado de ayudarle en la aplicación de la normativa de protección de datos. Póngase en contacto con nosotros en cualquier momento para una consulta inicial.

¿Quién puede ser delegado de la protección de datos?

En principio, cualquier persona puede asumir una actividad como delegado de la protección de datos si tiene la cualificación profesional necesaria, experiencia en derecho de la protección de datos, y la capacidad para realizar las tareas de un delegado de la protección de datos (§ 37 Abs. 5 RGPD).

Este suele ser el caso de los delegados de la protección de datos externos con experiencia práctica. En cambio, la cosa se complica con los delegados internos de la protección de datos. Deben estar suficientemente formados en la ley sino también daños para su practica de protección de datos para tener la experiencia necesaria. También hay que asegurarse de que no están sujetos a ningún conflicto de intereses y tienen la autoridad para desempeñar sus funciones (por ejemplo, acceso a los datos y plataformas necesarios).

Si ha nombrado a un delegado de la protección de datos interno o externo, presente la información a la autoridad supervisora competente y publíquela en su sitio web.

¿Son responsables los delegados de la protección de datos?

En principio, los delegados de la protección de datos actúan en nombre de su empresa y la asesoran sobre el cumplimiento de la normativa de protección de datos. Si no se cumplen, las personas perjudicadas pueden emprender acciones contra su empresa. En algunos casos excepcionales, las personas perjudicadas -o incluso usted como empresa- pueden emprender acciones contra el delegado de protección de datos.

Los delegados de la protección de datos son responsables ante la empresa por daños y perjuicios, principalmente si le proporcionan un asesoramiento incorrecto o no cumplen con su deber de educar e informar la empresa, provocando así una multa por parte de la autoridad supervisora.

¿Qué responsabilidad tienen los delegados de la protección de datos internos?

Riesgo de responsabilidad para los delegados de la protección de datos internos

Delegados de la protección de datos externos no establecen una relación laboral con su empresa, por lo que no se requiere un puesto permanente. La ventaja en este caso es que usted soporta poca responsabilidad en relación con el delegado de la protección de datos externo.

Hay un mayor nivel de responsabilidad hacia delegados de la protección de datos internos. Los delegados de la protección de datos internos trabajan dentro de su empresa y suelen asumir el cargo del delegado de la protección de datos además de su trabajo real. La responsabilidad limitada protege a los empleados de su empresa:

• Los delegados de la protección de datos internos no son responsables en caso de error debido a una ligera negligencia. En este caso, su empresa debe asumir la totalidad de los daños.
• En el caso de un negligencia normal o moderada, por otro lado, se produce un proceso de equilibrio para que los empleados y la empresa puedan soportar los daños a partes iguales.
• Sólo en casos de una negligencia grave o dolo, los delegados de la protección de datos internos pueden ser considerados plenamente responsables si han incluido un acuerdo de este tipo en el contrato de trabajo. No se prevé la ampliación de la responsabilidad a la negligencia leve o moderada.

La carga de la prueba también puede ser problemático. Si se produce un error interno, a su empresa le corresponde la carga de la prueba para establecer la culpa. En concreto, es responsable de demostrar en un proceso judicial si el acto se cometió con negligencia grave o con dolo de excluir la responsabilidad por su parte.

¿Tiene preguntas abiertas sobre este tema? Nuestro personal con formación jurídica estará encantado de asesorarle exhaustivamente sobre todas las cuestiones relativas a la ley de protección de datos. No dude en ponerse en contacto con nosotros en cualquier momento.

Protección especial contra el despido

Algunos puestos de las empresas gozan de una protección especial contra el despido, entre ellos la función del delegado de la protección de datos interno. Esto significa que el delegado de la protección de datos no puede ser cesado de forma efectiva a menos que exista una causa justificada para el cese (§ 6 Abs. 4 RGPD).

Si emite un aviso ordinario de despido, debe dar razones suficientes para ello. Este procedimiento protege a los delegados de la protección de datos de ser despedidos o perjudicados si desempeñan sus funciones de forma desagradable para la empresa.

Esta protección especial contra el despido continúa durante un año aunque los delegados de la protección de datos renuncien a su cargo. Ese cese ordinario sigue requiriendo una causa justificada en el plazo de un año desde la dimisión.

¿Cuál es la responsabilidad de los delegados de la protección de datos externos ?

La situación es diferente para los delegados de la protección de datos externos. Dado que no tienen una relación laboral con su empresa, los delegados de la protección de datos externos son totalmente responsable al perjudicado, incluso en caso de negligencia leve. El perjudicado puede ser un tercero (por ejemplo, clientes) o usted como empresa.

Por supuesto, una limitación de la responsabilidad puede ser acordado entre usted y los delegados de la protección de datos externos. Muchos delegados de la protección de datos externos ofrecen una exoneración de responsabilidad para la empresa como parte de sus servicios. Las normas exactas de responsabilidad se suelen encontrar en las condiciones generales o en los contratos o se negocian con el proveedor. Por lo general, el seguro de responsabilidad civil profesional del delegado de la protección de datos asumirá la responsabilidad si le ha proporcionado un asesoramiento inadecuado o incorrecto.

Otra ventaja de los delegados de la protección de datos externos es que se evita conflictos de intereses. Como proveedor de servicios externo, usted, como empresa, puede rescindir los contratos en cualquier momento y no tener disputas ni conflictos de derecho laboral dentro de su empresa.

¿Cuándo son responsables las empresas de las violaciones de la protección de datos?

Empresas con delegados de la protección de datos internos son responsables de todos los daños causados por sus empleados debido a una negligencia leve o normal, ya sea en su totalidad o en parte. También son responsables si no pueden demostrar que el propio delegado interno de la protección de datos es responsable (por ejemplo, en caso de negligencia grave o dolo).

En el caso de un delegado de la protección de datos externo, el factor decisivo son las disposiciones de responsabilidad en sus contratos de servicios. Aquí se puede estipular todo, desde una limitación de la responsabilidad hasta una exención total de la misma. Una exención de responsabilidad a favor de las empresas es lo más atractivo para ellas y, por tanto, se acuerda en la mayoría de los casos.

Las empresas también deben asegurarse de que se cumplen todas las directrices de protección de datos, especialmente el RGPD. Si ningún delegado de la protección de datos es nombrado, aunque sea obligatorio para su empresa, se enfrentará a sanciones y fuertes multas.

Conflictos de intereses también debe evitarse. Si, por ejemplo, la dirección se nombra a sí misma delegado de la protección de datos o un asesor fiscal entra en acción aquí, este nombramiento no es válido.

¿Pueden los delegados a protección de datos ser procesados?

Aunque los delegados de la protección de datos asesoran y supervisan la protección de datos de su empresa, no están obligadas a aplicar la normativa de protección de datos por sí mismas. Esta tarea está sujeta a la propia empresa.

Por lo tanto, los delegados de la protección de datos no pueden ser considerados fácilmente responsables penales de las violaciones de las normas de protección de datos. Pero la responsabilidad penal por complicidad en la violación de la privacidad de los datos es indudablemente posible, por ejemplo, si una violación no se previene o no se denuncia deliberadamente.

¿Cómo pueden protegerse los delegados de la protección de datos?

Al igual que todos los empleados, los delegados de la protección de datos deben trabajar con cuidado y a conciencia para protegerse de posibles reclamaciones por daños y perjuicios. Además, siempre deben documentar su trabajo para poder presentar pruebas del trabajo realizado en caso de duda. Esto es posible documentando las actividades en la Plataforma Priverion.

También hay que asistir regular a cursos de formación para mantener al día la propia experiencia y los conocimientos especializados. Por tanto, ofrezca la oportunidad de participar regularmente en eventos profesionales y cursos de formación.

Si los delegados de la protección de datos tienen conocimiento de violaciones de la ley de protección de datos, deben, en caso de duda, consultar a la autoridad supervisora responsable. La consideración de esta decisión también debe documentarse para poder contrarrestar las supuestas reclamaciones de las empresas. El DPD debe discutir primero todos los pasos con la empresa respectiva antes de denunciar el caso.

Dado que el RGPD contempla la posibilidad de imponer multas millonarias, en caso de infracción, incluso la responsabilidad limitada puede tener ya consecuencias financieras de gran alcance. Además, puede haber reclamaciones no materiales por daños y perjuicios por parte de las personas afectadas.

Para proteger a sus empleados, puede acordar una exoneración de la responsabilidad. También es posible sacar un seguro de responsabilidad civil profesional. Las empresas respectivas pueden cubrir estos costes.

Siempre es importante recordar que el trabajo concienzudo y diligente es esencial, incluso con una exoneración de responsabilidad o un seguro, porque ninguno de ellos se aplica en caso de dolo o negligencia grave.

Conclusión

Las tareas y obligaciones de los delegados de la protección de datos se han ampliado considerablemente en el contexto del RGPD. Esto lleva no sólo a una mayor carga de trabajo sino también a un mayor riesgo de responsabilidad.

Muchas empresas prefieren designar delegados de la protección de datos internos en lugar de dejar esta tarea en manos de proveedores de servicios externos. Es comprensible que muchos confíen más en sus empleados que en los proveedores de servicios externos. Al fin y al cabo, el personal interno ya está integrado en el flujo de trabajo y conoce las estructuras y los procesos de la empresa.

Pero esto también puede facilitar que pasen por alto los problemas existentes en la empresa. Posibles conflictos de intereses tampoco debe ser subestimado o ignorado.

Recuerde: si emplea a un delegado de la protección de datos interno está exponiendo a su empresa, así como a su personal, a un riesgo legal. Formar y desarrollar profesionalmente a los empleados internos para que puedan desempeñar correctamente y de forma fiable sus nuevas actividades lleva tiempo y genera costes.

El tiempo invertido en la introducción y la formación no puede dedicarse a ninguna otra actividad en la empresa. La falta de experiencia práctica en este campo puede hacer que el proceso sea más ineficiente que cuando se contrata a un delegado de protección de datos externo.

Se requiere un experto externo para la protección de datos suele estar especialmente formado, tiene una posición neutral y suele contar con años de experiencia en la ley de protección de datos. Además, no están sujetos a ninguna limitación de responsabilidad, por lo que usted está mejor protegido contra las reclamaciones por daños y perjuicios.

A pesar de que los costes de los delegados de la protección de datos externos pueden ser ligeramente más elevados, recurrir a un apoyo externo puede tener más sentido desde el punto de vista económico debido a la reducción del riesgo conseguida. Sobre todo porque la comparación de costes a menudo no incluye correctamente todos los costes del empleado interno de la empresa (formación, costes salariales auxiliares, protección contra el despido).