Riesgos para los delegados internos y externos de protección de datos

Las violaciones de datos ocurren todo el tiempo y en todas partes. Sin embargo, para las empresas es un gran shock cuando, a pesar de todas las precauciones, se produce una violación de datos en su propia empresa. Los delegados de la protección de datos tienen la tarea de minimizar este riesgo y evitar así consecuencias financieras y jurídicas de gran alcance. Pero, ¿quién es responsable en tal caso? ¿Qué deben tener en cuenta las empresas y los responsables del cumplimiento? Delegado de protección de datos interno o externo: ¿qué riesgos entrañan las distintas opciones? En este artículo respondemos a las preguntas más importantes sobre el tema.

Los hechos más importantes de un vistazo

• Con la entrada en vigor del RGPD, se aplican requisitos más estrictos en materia de protección de datos. Las empresas están obligadas a aplicar la normativa de protección de datos y, en caso necesario, a nombrar a un delegado de protección de datos.
• También ha aumentado el riesgo de responsabilidad. En caso de infracción del RGPD, tanto las empresas como los delegados de la protección de datos pueden ser responsables. En este contexto, se prevén multas millonarias relacionadas con el volumen de negocios. Algunos países, como Suiza, incluso sólo conocen las multas personales.
• Los delegados de la protección de datos de las empresas son nombrados internamente y, por tanto, gozan de una protección especial contra el despido. Se benefician de una exención de responsabilidad y pueden tener que recibir formación adicional adecuada.
• En el caso de los delegados de protección de datos externos, la responsabilidad puede acordarse individualmente y a favor de la empresa. El personal externo tampoco está sujeto a ningún conflicto de intereses y tiene una experiencia práctica más profunda en la protección de datos.

¿Qué hacen los delegados de la protección de datos?

La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018 ha dado lugar a requisitos más estrictos para las empresas y sus requisitos de protección de datos. En particular, esto se refiere a los principios de licitud, limitación de la finalidad y transparencia de los datos y su tratamiento. Las infracciones del RGPD pueden dar lugar a multas millonarias.

Los delegados de protección de datos de las empresas (DPD) son los encargados de controlar y supervisar los requisitos de protección de datos del RGPD. Se trata del autocontrol de la empresa, es decir, de comprobar si se cumple la normativa del RGPD . Se trata de evitar reclamaciones por daños y perjuicios contra la empresa.

Además de supervisar y controlar la empresa, los delegados de la protección de datos también actúan en calidad de asesores e informadores. Colaboran estrechamente con la dirección para garantizar el máximo nivel posible de protección de datos. También cooperan estrechamente con la autoridad de control competente.

La introducción del RGPD ha aumentado significativamente el alcance de las tareas y actividades de los delegados de la protección de datos. Esto también conlleva una mayor responsabilidad, por lo que los empleados que asumen este cargo tienen obligaciones más amplias.

¿Quién debe contratar a delegados de la protección de datos?

En algunos casos, las empresas pueden estar obligadas a nombrar delegados internos de protección de datos. En Alemania, este es siempre el caso si al menos 20 personas están permanentemente encargadas del tratamiento automatizado de datos personales.

Además, se requiere un delegado interno de protección de datos en los siguientes casos (art. 37 del RGPD):

• El tratamiento de datos lo realiza una autoridad pública u otro organismo público.
• La actividad principal de la empresa consiste en el tratamiento de datos personales especiales que requieren una supervisión sistemática (especialmente en el caso del tratamiento automatizado de datos).
• La actividad principal de la empresa consiste en el tratamiento extensivo de datos personales sensibles de categorías especiales (art. 9 del RGPD).
• La empresa procesa datos personales relacionados con delitos o condenas penales (art. 10 del RGPD).

En consecuencia, depende de la actividad principal y del alcance del tratamiento si se requiere un delegado de protección de datos. Además, los datos se dividen en diferentes categorías (art. 9 del RGPD).

¿Cuánto cuesta un delegado de protección de datos?

La cuestión del coste de un delegado de protección de datos se plantea cada vez con más frecuencia, y con razón. Las pequeñas y medianas empresas, en particular, suelen tener que arreglárselas con un presupuesto manejable para cumplir los requisitos legales.

En el caso de los delegados de protección de datos de las empresas, los costes dependen de su salario anterior. Un aumento salarial puede tener sentido si los empleados asumen tareas adicionales. En este caso, sin embargo, es posible que tenga que adaptar o ampliar el contrato de trabajo en consecuencia. Además, una solución interna puede acarrear costes adicionales por formación y perfeccionamiento, así como por la inversión de tiempo en nuevas tareas, que luego se echa en falta en otros lugares.

En el caso de los delegados de protección de datos externos, los honorarios dependen de los conocimientos individuales, las cualificaciones especiales, el tiempo necesario y los requisitos de la empresa para el servicio. Además, los costes pueden variar en función de la demanda del mercado.

La solución externa permite calcular mejor los costes, ya que sólo se incurre en los costes mensuales de los delegados externos de protección de datos. Los costes adicionales, menos transparentes, que se derivan, por ejemplo, de la formación continua o de la reestructuración operativa, no se aplican en este caso.

¿Quién puede ser delegado de protección de datos?

En principio, cualquier persona puede asumir una actividad como delegado de protección de datos si posee las cualificaciones profesionales necesarias, experiencia en el ámbito de la legislación sobre protección de datos y/o la capacidad para desempeñar las tareas de un delegado de protección de datos (artículo 37, apartado 5, del RGPD).

Este es principalmente el caso de los delegados de protección de datos externos, ya que tienen experiencia práctica. En cambio, en el caso de los delegados de protección de datos internos, la cosa se complica. Deben estar suficientemente formados en la legislación y la práctica de la protección de datos para que tengan los conocimientos necesarios. También hay que asegurarse de que no estén sujetos a ningún conflicto de intereses y de que dispongan de todas las facultades necesarias para desempeñar sus funciones (por ejemplo, acceso a los datos y plataformas necesarios).

Si ha nombrado un delegado de protección de datos interno o externo, presente la información a la autoridad de control competente y publíquela también en su sitio web.

¿Son responsables los delegados de protección de datos?

En principio, los responsables de la protección de datos actúan en nombre de su empresa y les asesoran sobre el cumplimiento de las normas de protección de datos. Si no se cumplen, las personas perjudicadas pueden emprender acciones contra su empresa. Sin embargo, hay algunos casos excepcionales en los que las personas perjudicadas -o usted mismo como empresa- pueden emprender acciones contra el delegado de protección de datos.

Los delegados de la protección de datos son responsables frente a la empresa por daños y perjuicios, en particular si proporcionan a la empresa un asesoramiento incorrecto o incumplen sus deberes de aclaración o información y provocan así una multa por parte de la autoridad de control.

¿Cuál es la liabilidad de los delegados internos de la protección de datos?

Riesgo de responsabilidad de los delegados internos de la protección de datos

Los delegados externos de la protección de datos no establecen una relación laboral con su empresa, por lo que no se requiere un empleo permanente. La ventaja en este caso es que usted tiene poca responsabilidad con respecto al delegado externo de la protección de datos.

En comparación con los delegados de protección de datos internos, existe un mayor nivel de responsabilidad. Los delegados internos de protección de datos suelen asumir el cargo de delegado de protección de datos además de sus actividades reales. La responsabilidad limitada protege a los empleados de su empresa:

• Los delegados internos de protección de datos no son responsables en caso de error por negligencia leve. En este caso, su empresa deberá asumir la totalidad de los daños.
• En cambio, en caso de negligencia normal o moderada, hay un proceso de equilibrio para que los empleados y la empresa soporten los daños a partes iguales.
• Sólo en caso de negligencia grave o dolo, los delegados internos de la protección de datos pueden ser plenamente responsables si así se ha acordado en el contrato de trabajo. No se prevé una ampliación de la responsabilidad a la negligencia leve o media.

La aportación de pruebas también puede resultar problemática. Si se produce un error interno, la empresa soporta la carga de la prueba para demostrar la culpa. Concretamente: le corresponde probar en un procedimiento judicial si el acto se cometió o no con negligencia grave o dolo para excluir la responsabilidad por su parte.

¿Tiene alguna pregunta adicional sobre este tema? Nuestro personal con formación jurídica estará encantado de asesorarle ampliamente sobre todas las cuestiones relativas a la ley de protección de datos. Póngase en contacto con nosotros en cualquier momento.

Protección especial contra el despido

Determinados puestos gozan de una protección especial contra el despido en las empresas, entre ellos el puesto de delegado interno de protección de datos. Esto significa que, en principio, el delegado de la protección de datos no puede ser despedido de forma efectiva a menos que exista una causa justificada para el despido.

Si emite un preaviso ordinario de despido, debe motivarlo suficientemente. Este procedimiento tiene por objeto proteger a los delegados de la protección de datos de ser despedidos o perjudicados si desempeñan sus funciones de forma que desagrade a la empresa.

Esta protección especial contra el despido continúa durante un año aunque los delegados de la protección de datos dimitan de su cargo. En el plazo de un año tras la dimisión, el despido ordinario sigue requiriendo una causa justificada.

¿Cuál es la liabilidad de los delegados externos de la protección de datos?

La situación es diferente para los delegados externos de la protección de datos: al no tener una relación laboral con su empresa, los delegados externos de la protección de datos son plenamente responsable ante la parte perjudicada, incluso en casos de negligencia leve. El perjudicado puede ser un tercero (por ejemplo, un cliente) o usted mismo como empresa.

Por supuesto, puede acordarse una limitación de responsabilidad entre usted y los delegados externos de la protección de datos. Muchos delegados de protección de datos externos también ofrecen una exención de responsabilidad para la empresa como parte de sus servicios. Los baremos exactos de responsabilidad suelen figurar en las condiciones generales o en los contratos, o pueden negociarse con el proveedor. Por regla general, el seguro de responsabilidad profesional del delegado de protección de datos asume la responsabilidad si le ha asesorado de forma insuficiente o incorrecta.

Otra ventaja de los delegados de protección de datos externos es que evitan conflictos de intereses. Con los proveedores de servicios externos, usted como empresa siempre puede rescindir los contratos y no tener disputas ni conflictos de derecho laboral dentro de su empresa.

¿Cuándo son responsables las empresas de las violaciones de la protección de datos?

Las empresas con delegados internos de protección de datos son responsables de todos los daños causados por sus empleados por negligencia leve o normal, en todo o en parte. También son responsables si no pueden demostrar que el delegado interno de protección de datos es responsable por sí mismo (por ejemplo, en caso de negligencia grave o dolo).

En el caso de los delegados de la protección de datos externos, el factor decisivo es la normativa sobre responsabilidad de su contrato de servicios. Aquí puede acordarse desde una limitación de la responsabilidad hasta una exención total de la misma. Una exención de responsabilidad a favor de las empresas es lo más atractivo para ellas y, por tanto, se acuerda en la mayoría de los casos.

Las empresas deben asegurarse de que se cumplen todas las directrices de protección de datos, en particular el RGPD. Si no se nombran un delegado de protección de datos, aunque sea obligatorio para su empresa, deben esperar sanciones y multas elevadas.

También deben evitarse los conflictos de intereses. Si, por ejemplo, la dirección de la empresa se nombra a sí misma delegado de la protección de datos o un asesor fiscal entra en funciones, este nombramiento carece de validez.

¿Pueden ser procesados los delegados de la protección de datos?

Aunque los delegados de la protección de datos asesoran y supervisan la protección de datos de su empresa, no están obligados por sí mismos a aplicar la normativa de protección de datos. Esta tarea corresponde a las propias empresas.

Por lo tanto, los delegados de la protección de datos como tales no pueden ser fácilmente procesados por infracciones de las normas de protección de datos. Sin embargo, la responsabilidad penal por complicidad en violaciones de la protección de datos es ciertamente posible, por ejemplo si una violación no se previene o no se denuncia deliberadamente.

¿Cómo pueden protegerse los delegados de la protección de datos?

Como ocurre con todos los empleados, los delegados de la protección de datos deben trabajar cuidadosa y concienzudamente para protegerse contra supuestas reclamaciones por daños y perjuicios. Además, el propio trabajo debe documentarse siempre para poder presentar pruebas del trabajo realizado en caso de duda. Esto es posible documentando las actividades en la plataform Priverion.

También se debe asistir regularmente a cursos de formación y perfeccionamiento para mantener al día la propia experiencia y los conocimientos profesionales. Por lo tanto, ofrezca regularmente la posibilidad de asistir a eventos y formaciones profesionales.

Si los delegados de la protección de datos tienen conocimiento de infracciones de la ley de protección de datos, la autoridad supervisora responsable debe intervenir en caso de duda. La consideración de esta decisión debe documentarse siempre para poder rebatir supuestas reclamaciones por parte de la empresa. Las partes afectadas deben discutir primero todos los pasos con la empresa respectiva antes de denunciar el caso.

Dado que el RGPD impone la perspectiva de multas millonarias en caso de infracción, incluso una responsabilidad limitada puede tener consecuencias financieras de gran alcance. A esto hay que añadir las reclamaciones no materiales por daños y perjuicios de las personas afectadas.

Para proteger a sus empleados, también existe la posibilidad de contratar un seguro de responsabilidad profesional además de la cláusula de descargo de responsabilidad. Estos costes pueden correr a cargo de las respectivas empresas.

Siempre hay que tener en cuenta que, incluso con una exención de responsabilidad o un seguro, es esencial trabajar a conciencia y con diligencia. Esto se debe a que ni la exención de responsabilidad ni el seguro de responsabilidad profesional se aplican en casos de dolo o negligencia grave.

Conclusión

Las tareas y obligaciones de los delegados de la protección de datos se han ampliado considerablemente con el RGPD. Esto no solo conlleva una mayor carga de trabajo, sino también un mayor riesgo de responsabilidad.

Muchas empresas prefieren nombrar delegados de protección de datos internos en lugar de dejar esta tarea en manos de proveedores de servicios externos. Es comprensible que muchas confíen más en su propio personal que en los proveedores de servicios externos. Al fin y al cabo, las personas internas ya están integradas en el flujo de trabajo y conocen las estructuras y procesos de la empresa.

Sin embargo, esto también puede facilitar que pasen por alto problemas que ya existen en la empresa. Además, no hay que subestimar ni pasar por alto los posibles conflictos de intereses .

Recuerde: si contrata a un delegado interno de la protección de datos, expone a su empresa, pero también a su personal, a riesgos legales. Formar y educar profesionalmente a los empleados internos para que puedan llevar a cabo sus nuevas actividades de forma adecuada y fiable requiere tiempo y dinero.

El tiempo invertido en la iniciación y la formación no puede dedicarse a otra actividad de la empresa. La falta de experiencia práctica en este campo puede hacer que todo el proceso resulte más ineficaz que cuando se contrata a un delegado de protección de datos externo.

Un experto externo en protección de datos suele tener una formación específica, una posición neutral y, a menudo, muchos años de experiencia en la ley de protección de datos. Además, no está sujeto a ninguna limitación de responsabilidad, por lo que usted estará mejor protegido frente a reclamaciones por daños y perjuicios.

A pesar de los posibles costes ligeramente superiores de un delegado de protección de datos externo, puede tener sentido desde el punto de vista económico contar con apoyo externo debido a la reducción de riesgos conseguida, ya que a menudo no se incluyen correctamente en la comparación de costes todos los costes del propio empleado interno (formación adicional, costes salariales auxiliares, protección contra el despido).