Las violaciones de datos ocurren todo el tiempo y en todas partes. Sin embargo, para las empresas es un gran shock cuando, a pesar de todas las precauciones, se produce una violación de datos en su propia empresa. Los delegados de la protección de datos tienen la tarea de minimizar este riesgo y evitar así consecuencias financieras y jurídicas de gran alcance. Pero, ¿quién es responsable en tal caso? ¿Qué deben tener en cuenta las empresas y los responsables del cumplimiento? Delegado de protección de datos interno o externo: ¿qué riesgos entrañan las distintas opciones? En este artículo respondemos a las preguntas más importantes sobre el tema.
La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018 ha dado lugar a requisitos más estrictos para las empresas y sus requisitos de protección de datos. En particular, esto se refiere a los principios de licitud, limitación de la finalidad y transparencia de los datos y su tratamiento. Las infracciones del RGPD pueden dar lugar a multas millonarias.
Los delegados de protección de datos de las empresas (DPD) son los encargados de controlar y supervisar los requisitos de protección de datos del RGPD. Se trata del autocontrol de la empresa, es decir, de comprobar si se cumple la normativa del RGPD . Se trata de evitar reclamaciones por daños y perjuicios contra la empresa.
Además de supervisar y controlar la empresa, los delegados de la protección de datos también actúan en calidad de asesores e informadores. Colaboran estrechamente con la dirección para garantizar el máximo nivel posible de protección de datos. También cooperan estrechamente con la autoridad de control competente.
La introducción del RGPD ha aumentado significativamente el alcance de las tareas y actividades de los delegados de la protección de datos. Esto también conlleva una mayor responsabilidad, por lo que los empleados que asumen este cargo tienen obligaciones más amplias.
En algunos casos, las empresas pueden estar obligadas a nombrar delegados internos de protección de datos. En Alemania, este es siempre el caso si al menos 20 personas están permanentemente encargadas del tratamiento automatizado de datos personales.
Además, se requiere un delegado interno de protección de datos en los siguientes casos (art. 37 del RGPD):
En consecuencia, depende de la actividad principal y del alcance del tratamiento si se requiere un delegado de protección de datos. Además, los datos se dividen en diferentes categorías (art. 9 del RGPD).
La cuestión del coste de un delegado de protección de datos se plantea cada vez con más frecuencia, y con razón. Las pequeñas y medianas empresas, en particular, suelen tener que arreglárselas con un presupuesto manejable para cumplir los requisitos legales.
En el caso de los delegados de protección de datos de las empresas, los costes dependen de su salario anterior. Un aumento salarial puede tener sentido si los empleados asumen tareas adicionales. En este caso, sin embargo, es posible que tenga que adaptar o ampliar el contrato de trabajo en consecuencia. Además, una solución interna puede acarrear costes adicionales por formación y perfeccionamiento, así como por la inversión de tiempo en nuevas tareas, que luego se echa en falta en otros lugares.
En el caso de los delegados de protección de datos externos, los honorarios dependen de los conocimientos individuales, las cualificaciones especiales, el tiempo necesario y los requisitos de la empresa para el servicio. Además, los costes pueden variar en función de la demanda del mercado.
La solución externa permite calcular mejor los costes, ya que sólo se incurre en los costes mensuales de los delegados externos de protección de datos. Los costes adicionales, menos transparentes, que se derivan, por ejemplo, de la formación continua o de la reestructuración operativa, no se aplican en este caso.
En principio, cualquier persona puede asumir una actividad como delegado de protección de datos si posee las cualificaciones profesionales necesarias, experiencia en el ámbito de la legislación sobre protección de datos y/o la capacidad para desempeñar las tareas de un delegado de protección de datos (artículo 37, apartado 5, del RGPD).
Este es principalmente el caso de los delegados de protección de datos externos, ya que tienen experiencia práctica. En cambio, en el caso de los delegados de protección de datos internos, la cosa se complica. Deben estar suficientemente formados en la legislación y la práctica de la protección de datos para que tengan los conocimientos necesarios. También hay que asegurarse de que no estén sujetos a ningún conflicto de intereses y de que dispongan de todas las facultades necesarias para desempeñar sus funciones (por ejemplo, acceso a los datos y plataformas necesarios).
Nuestro consejo: a la hora de nombrar un delegado de protección de datos interno, tenga en cuenta los criterios enumerados, pero también los conocimientos previos de sus empleados.
Si ha nombrado un delegado de protección de datos interno o externo, presente la información a la autoridad de control competente y publíquela también en su sitio web.
En principio, los responsables de la protección de datos actúan en nombre de su empresa y les asesoran sobre el cumplimiento de las normas de protección de datos. Si no se cumplen, las personas perjudicadas pueden emprender acciones contra su empresa. Sin embargo, hay algunos casos excepcionales en los que las personas perjudicadas -o usted mismo como empresa- pueden emprender acciones contra el delegado de protección de datos.
Los delegados de la protección de datos son responsables frente a la empresa por daños y perjuicios, en particular si proporcionan a la empresa un asesoramiento incorrecto o incumplen sus deberes de aclaración o información y provocan así una multa por parte de la autoridad de control.
Nuestro consejo: si no quiere exponer a sus empleados a este riesgo, puede acordar con el delegado de la protección de datos una denominado cláusula de descargo de responsabilidad. Un contrato de este tipo excluye la responsabilidad privada y la reduce así a la responsabilidad de la empresa. De lo contrario, los delegados internos de la protección de datos correrían riesgos, lo que puede hacer muy poco atractivo el puesto en su empresa.
Los delegados externos de la protección de datos no establecen una relación laboral con su empresa, por lo que no se requiere un empleo permanente. La ventaja en este caso es que usted tiene poca responsabilidad con respecto al delegado externo de la protección de datos.
En comparación con los delegados de protección de datos internos, existe un mayor nivel de responsabilidad. Los delegados internos de protección de datos suelen asumir el cargo de delegado de protección de datos además de sus actividades reales. La responsabilidad limitada protege a los empleados de su empresa:
La aportación de pruebas también puede resultar problemática. Si se produce un error interno, la empresa soporta la carga de la prueba para demostrar la culpa. Concretamente: le corresponde probar en un procedimiento judicial si el acto se cometió o no con negligencia grave o dolo para excluir la responsabilidad por su parte.
¿Tiene alguna pregunta adicional sobre este tema? Nuestro personal con formación jurídica estará encantado de asesorarle ampliamente sobre todas las cuestiones relativas a la ley de protección de datos. Póngase en contacto con nosotros en cualquier momento.
Determinados puestos gozan de una protección especial contra el despido en las empresas, entre ellos el puesto de delegado interno de protección de datos. Esto significa que, en principio, el delegado de la protección de datos no puede ser despedido de forma efectiva a menos que exista una causa justificada para el despido.
Si emite un preaviso ordinario de despido, debe motivarlo suficientemente. Este procedimiento tiene por objeto proteger a los delegados de la protección de datos de ser despedidos o perjudicados si desempeñan sus funciones de forma que desagrade a la empresa.
Esta protección especial contra el despido continúa durante un año aunque los delegados de la protección de datos dimitan de su cargo. En el plazo de un año tras la dimisión, el despido ordinario sigue requiriendo una causa justificada.
La situación es diferente para los delegados externos de la protección de datos: al no tener una relación laboral con su empresa, los delegados externos de la protección de datos son plenamente responsable ante la parte perjudicada, incluso en casos de negligencia leve. El perjudicado puede ser un tercero (por ejemplo, un cliente) o usted mismo como empresa.
Por supuesto, puede acordarse una limitación de responsabilidad entre usted y los delegados externos de la protección de datos. Muchos delegados de protección de datos externos también ofrecen una exención de responsabilidad para la empresa como parte de sus servicios. Los baremos exactos de responsabilidad suelen figurar en las condiciones generales o en los contratos, o pueden negociarse con el proveedor. Por regla general, el seguro de responsabilidad profesional del delegado de protección de datos asume la responsabilidad si le ha asesorado de forma insuficiente o incorrecta.
Otra ventaja de los delegados de protección de datos externos es que evitan conflictos de intereses. Con los proveedores de servicios externos, usted como empresa siempre puede rescindir los contratos y no tener disputas ni conflictos de derecho laboral dentro de su empresa.
Las empresas con delegados internos de protección de datos son responsables de todos los daños causados por sus empleados por negligencia leve o normal, en todo o en parte. También son responsables si no pueden demostrar que el delegado interno de protección de datos es responsable por sí mismo (por ejemplo, en caso de negligencia grave o dolo).
En el caso de los delegados de la protección de datos externos, el factor decisivo es la normativa sobre responsabilidad de su contrato de servicios. Aquí puede acordarse desde una limitación de la responsabilidad hasta una exención total de la misma. Una exención de responsabilidad a favor de las empresas es lo más atractivo para ellas y, por tanto, se acuerda en la mayoría de los casos.
Las empresas deben asegurarse de que se cumplen todas las directrices de protección de datos, en particular el RGPD. Si no se nombran un delegado de protección de datos, aunque sea obligatorio para su empresa, deben esperar sanciones y multas elevadas.
También deben evitarse los conflictos de intereses. Si, por ejemplo, la dirección de la empresa se nombra a sí misma delegado de la protección de datos o un asesor fiscal entra en funciones, este nombramiento carece de validez.
Aunque los delegados de la protección de datos asesoran y supervisan la protección de datos de su empresa, no están obligados por sí mismos a aplicar la normativa de protección de datos. Esta tarea corresponde a las propias empresas.
Por lo tanto, los delegados de la protección de datos como tales no pueden ser fácilmente procesados por infracciones de las normas de protección de datos. Sin embargo, la responsabilidad penal por complicidad en violaciones de la protección de datos es ciertamente posible, por ejemplo si una violación no se previene o no se denuncia deliberadamente.
Como ocurre con todos los empleados, los delegados de la protección de datos deben trabajar cuidadosa y concienzudamente para protegerse contra supuestas reclamaciones por daños y perjuicios. Además, el propio trabajo debe documentarse siempre para poder presentar pruebas del trabajo realizado en caso de duda. Esto es posible documentando las actividades en la plataform Priverion.
También se debe asistir regularmente a cursos de formación y perfeccionamiento para mantener al día la propia experiencia y los conocimientos profesionales. Por lo tanto, ofrezca regularmente la posibilidad de asistir a eventos y formaciones profesionales.
Si los delegados de la protección de datos tienen conocimiento de infracciones de la ley de protección de datos, la autoridad supervisora responsable debe intervenir en caso de duda. La consideración de esta decisión debe documentarse siempre para poder rebatir supuestas reclamaciones por parte de la empresa. Las partes afectadas deben discutir primero todos los pasos con la empresa respectiva antes de denunciar el caso.
Dado que el RGPD impone la perspectiva de multas millonarias en caso de infracción, incluso una responsabilidad limitada puede tener consecuencias financieras de gran alcance. A esto hay que añadir las reclamaciones no materiales por daños y perjuicios de las personas afectadas.
Para proteger a sus empleados, también existe la posibilidad de contratar un seguro de responsabilidad profesional además de la cláusula de descargo de responsabilidad. Estos costes pueden correr a cargo de las respectivas empresas.
Siempre hay que tener en cuenta que, incluso con una exención de responsabilidad o un seguro, es esencial trabajar a conciencia y con diligencia. Esto se debe a que ni la exención de responsabilidad ni el seguro de responsabilidad profesional se aplican en casos de dolo o negligencia grave.
Las tareas y obligaciones de los delegados de la protección de datos se han ampliado considerablemente con el RGPD. Esto no solo conlleva una mayor carga de trabajo, sino también un mayor riesgo de responsabilidad.
Muchas empresas prefieren nombrar delegados de protección de datos internos en lugar de dejar esta tarea en manos de proveedores de servicios externos. Es comprensible que muchas confíen más en su propio personal que en los proveedores de servicios externos. Al fin y al cabo, las personas internas ya están integradas en el flujo de trabajo y conocen las estructuras y procesos de la empresa.
Sin embargo, esto también puede facilitar que pasen por alto problemas que ya existen en la empresa. Además, no hay que subestimar ni pasar por alto los posibles conflictos de intereses .
Recuerde: si contrata a un delegado interno de la protección de datos, expone a su empresa, pero también a su personal, a riesgos legales. Formar y educar profesionalmente a los empleados internos para que puedan llevar a cabo sus nuevas actividades de forma adecuada y fiable requiere tiempo y dinero.
El tiempo invertido en la iniciación y la formación no puede dedicarse a otra actividad de la empresa. La falta de experiencia práctica en este campo puede hacer que todo el proceso resulte más ineficaz que cuando se contrata a un delegado de protección de datos externo.
Un experto externo en protección de datos suele tener una formación específica, una posición neutral y, a menudo, muchos años de experiencia en la ley de protección de datos. Además, no está sujeto a ninguna limitación de responsabilidad, por lo que usted estará mejor protegido frente a reclamaciones por daños y perjuicios.
A pesar de los posibles costes ligeramente superiores de un delegado de protección de datos externo, puede tener sentido desde el punto de vista económico contar con apoyo externo debido a la reducción de riesgos conseguida, ya que a menudo no se incluyen correctamente en la comparación de costes todos los costes del propio empleado interno (formación adicional, costes salariales auxiliares, protección contra el despido).