Tareas de control de los delegados de la protección de datos 

El Reglamento General de Protección de Datos (RGPD) ha cambiado fundamentalmente la organización de las empresas y las autoridades públicas. Las nuevas normas de protección de datos afectan significativamente a los procesos y estructuras internas y externas de las empresas.

En particular, los delegados de la protección de datos están mucho más delimitados de otros entidades que antes. Por ejemplo, los delegados internos de la protección de datos antes también realizaban tareas operativas para las empresas privadas. Desde la entrada en vigor del RGPD, han retenido una función de asesoramiento y supervisión .

Los datos más importantes de un vistazo

• Los delegados de la protección de datos realizan actividades de asesoramiento y supervisión. En otras palabras, como organismos independientes, sirven de interfaz entre la empresa o autoridad y la autoridad de supervisión responsable. No están (ya) activos operativamente.
• Para poder llevar a cabo sus tareas de control, los delegados de la protección de datos dependen de la concesión de poderes necesarios por parte de sus empleadores o clientes.
• Para la realización de las actividades de vigilancia se dispone de diversos instrumentos de control, que deben ser utilizado orientada al riesgo
• Además, hay que desarrollar las condiciones del marco organizativo, como directrices y políticas, así como conceptos de supervisión.

RGPD: ¿Qué ha cambiado para los delegados de la protección de datos?

El delegado de la protección de datos es un observador objetivo y no un miembro activo en las empresas y autoridades. En cambio, las propias empresas son responsables de garantizar que la protección de datos se aplique prácticamente en la empresa o autoridad.

Los delegados de la protección de datos, internos o externos, se encargan de controlar y supervisar este aspecto. Disponen de varios instrumentos que garantizan el cumplimiento de la normativa de protección de datos. No importa si los delegados de la protección de datos son internos o externos.

En las empresas de tamaño pequeño, un delegado de protección de datos interno cuesta mucho dinero, por lo que a menudo se contrata a un delegado de protección de datos externo. Los delegados oficiales de protección de datos realizan las mismas actividades que los delegados de protección de datos de las empresas.

¿Cuáles son las obligaciones de los delegados de la protección de datos?

Los delegados de la protección de los datos tienen una seria de tareas, que pueden variar en función del tamaño y la orientación de la empresa. La actividad de un delegado de la protección de datos sirve para el autocontrol sino también daños para su mejora la protección de datos en el tratamiento de datos personales dentro de una empresa. Para ello, los delegados de la protección de datos actúan tanto en calidad de asesores como de supervisores.

Las áreas de responsabilidad se dividen en dos grandes categorías: Tareas de asesoramiento y supervisión, que describimos con más detalle a continuación.

Tareas de asesoramiento de los delegados de la protección de datos

• Informar y asesorar a los responsables del control de datos y a los empleados sobre sus obligaciones en virtud de la ley de protección de datos
• Persona de contacto para los interesados y establecimiento de procesos para tratar los contratiempos en materia de protección de datos
• Apoyo en la preparación de declaraciones, conceptos y directrices sobre protección de datos
• Apoyo en la realización de evaluaciones de impacto de la protección de datos

Tareas de control de los delegados de la protección de datos

• Cumplimiento de las obligaciones de protección de datos según el RGPD
• Revisión de la aplicación de las estrategias establecidas
• Cooperación con la autoridad de supervisión competente
• Revisión de los registros de procesamiento
• Controles de los empleados sobre el cumplimiento de las directrices

En este artículo hablamos con más detalle de las tareas generales de responsabilidad de los delegados externos e internos de la protección de datos.

El papel del delegado de la protección de datos en la empresa

La idea básica del RGPD respecto a los delegados de la protección de datos de las empresas es su función de control de la misma. Se supone que el delegado de la protección de datos es una persona u organismo de las empresas o autoridades públicas que no asume la responsabilidad de las tareas operativas, sino que se limita a ser un observador objetivo.

Esto también sirve para evitar conflictos de intereses y mantener la objetividad e independencia de los delegados de la protección de datos. De lo contrario, los delegados de la protección de datos también se controlarían a sí mismos, lo que iría en detrimento de un control eficaz.

Por supuesto, los delegados de la protección de datos también pueden asumir su función sólo a tiempo parcial y dedicar la otra parte de su empleo a las actividades normales de los empleados. Sin embargo, hay que tener cuidado de que no haya conflicto de intereses entre ambas actividades en tales constelaciones.

Por lo tanto, los delegados de la protección de datos no deben ocupar cargos ejecutivos ni otros cargos de supervisión (como los responsables del blanqueo de capitales, de la confidencialidad, etc.).

Además de las autoridades de control de la protección de datos, los delegados de la protección de datos son los organismos más importantes en el marco del RGPD para supervisar las políticas de protección de datos en las empresas y entidades públicas. Para ejercer eficazmente las tareas de supervisión, varias herramientas de supervisión están disponibles. Entre ellas se encuentran:

• Controles de protección de datos en los procesos
• Auditorías de protección de datos
• Evaluación de informes y estadísticas
• Certificaciones

Un requisito previo para el trabajo eficaz de los delegados de la protección de datos de las empresas es el establecimiento de estos instrumentos de control en la empresa o autoridad. Sin embargo, la responsabilidad de aplicar estos instrumentos no recae en los delegados de la protección de datos, sino en los cargos directivos de las empresas y las autoridades. Por tanto, los delegados de la protección de datos dependen de que se les concedan las competencias necesarias.

Sin embargo, también es beneficioso que el organismo responsable garantice una supervisión eficaz para prevenir el riesgo de violaciones de la privacidad de los datos y las correspondientes represalias y reclamaciones por daños y perjuicios por parte de las autoridades de control responsables y los sujetos de los datos.

Controles de protección de datos

Los controles de la privacidad de los datos deben integrarse en la organización corporativa para garantizar un seguimiento coherente. Estos controles incluyen controles preventivos de los procesos y procedimientos existentes y controles detectivescos para aclarar las violaciones de la privacidad de los datos. Es irrelevante que los controles sean manuales o automatizados, normalmente integrados en el software utilizado. Los temas de los distintos controles de protección de datos son la privacidad de los datos, la protección de los datos y la seguridad de los datos. Los objetos de los distintos controles de protección de datos son:

• Comprobación de la actualización de las autorizaciones de los usuarios
• Eficacia y eficiencia de los procesos
• Actualización de los registros
• Revisión de las medidas técnicas y organizativas
• Aprobación y establecimiento de autorizaciones de uso y especificaciones concretas al respecto
• Participación del delegado de la protección de datos en los cambios e introducción de nuevos procesos de tratamiento de datos
• Análisis de umbrales para la evaluación de impacto de la protección de datos

Dado que los delegados de la privacidad de los datos siempre actúan de forma orientada al riesgo De esta manera, los controles de privacidad de datos sirven para aplicar las directrices de privacidad de datos y prevenir los riesgos relacionados con el proceso para la empresa.

En su mayor parte, las comprobaciones no son realizadas por los propios delegados de la protección de datos, sino por los altos cargos de los departamentos responsables o por empleados individuales, operativamente activos. Sin embargo, los resultados o las anomalías deben ser coordinados y analizados con los delegados de la protección de datos para tomar nuevas precauciones constantemente o mejorar los procesos.

La implantación de controles de protección de datos es necesario en todos los sentidos para controlar todos los procesos y evitar percances en la protección de datos. Al fin y al cabo, representan un riesgo financiero nada desdeñable para la empresa.

En lenguaje sencillo, el objetivo es evitar los errores o identificarlos a tiempo, notificarlos y eliminarlos. Al mismo tiempo, se comprueba la eficacia de las medidas organizativas.

Esta aplicación se lleva a cabo en los siguientes 4 pasos:

1. identificación de riesgos en los procesos individuales
2. definición y controles para la cobertura de riesgos
3. aplicación de controles en los procesos individuales
4. realización y documentación de los controles

Auditorías de privacidad de datos

Una auditoría de privacidad de datos o una revisión de protección de datos analiza una unidad organizativa, un proceso individual, documentos individuales o datos dentro de la empresa. El objetivo es revisar la seguridad, la eficiencia, la eficacia y el cumplimiento, e identificar errores, evaluaciones u oportunidades de mejora.

El RGPD no contiene una obligación legal de realizar auditorías, pero requiere que los delegados de la protección de datos revisan la organización en cualquier caso. Aunque las auditorías de protección de datos son encargadas por los organismos responsables, la planificación y la ejecución son responsabilidad del delegado de la protección de datos como organismo de control o de terceros independientes para evitar conflictos de intereses. En las empresas medianas y grandes, puede ser aconsejable externalizar las auditorías de protección de datos. Los delegados de la protección de datos tienen entonces la tarea de supervisar su correcta realización.

Esto se hace siempre de forma orientada al riesgo con vistas a la empresa y a las personas afectadas. Los procesos que implican un riesgo especialmente elevado de violaciones de la protección de datos o el riesgo de violaciones especialmente graves deben revisarse de forma más estricta y frecuente, y debe tenerse debidamente en cuenta el riesgo asociado. La eficacia y la eficiencia de la organización de la protección de datos debe revisarse periódicamente, pero al menos una vez al año. La correcta aplicación de los requisitos legales en los procesos también debe programarse en función del riesgo, pero también al menos anualmente. Además, está de nuevo el análisis de incidentes graves de protección de datos, que, por supuesto, no puede llevarse a cabo de forma preventiva o programada, sino sólo ad hoc.

Certificación

Además de las aprobaciones por parte de la autoridad supervisora responsable, las empresas también pueden protegerse mediante las llamadas certificaciones. En este caso, los conceptos internos y las normas de conducta son controlados y supervisados por organismos externos e independientes. En este sentido, las certificaciones son comparables a las auditorías de protección de datos. Sin embargo, una vez finalizada la auditoría, la empresa recibe un certificado que confirma el resultado positivo.

Los sistemas de certificación están establecidos desde hace mucho tiempo. Los más conocidos en Alemania son las normas DIN y las normas ISO a nivel internacional. Sin embargo, el RGPD no prevé ninguno de estos sistemas sino que establece la suya propia dentro del Art. 4, 42 DEL RGPD. Las autoridades de control deben aprobar primero las normas basándose en los intereses de los sujetos de datos, no en los de las empresas.

Debido al poco tiempo transcurrido desde la entrada en vigor del RGPD en el año 2018, la oferta de certificaciones en Alemania sigue siendo mínima. Por supuesto, se pueden utilizar las certificaciones existentes, pero no hay que darles demasiado valor a la hora de crear una estrategia de protección de datos adecuada.

Otras herramientas de supervisión

Además de los controles y las auditorías, existen otros instrumentos que pueden utilizarse para supervisar la protección de datos. Por un lado, los informes sobre la seguridad de la información y las auditorías informáticas deben ponerse a disposición de los delegados de la protección de datos para que puedan comprobar si hay información y procesos relevantes para la protección de datos.

Además, los delegados de la protección de datos pueden realizar encuestas de autoevaluación de las empresas y las autoridades en relación con el cumplimiento de la normativa de protección de datos y preguntarles sobre las posibilidades de mejora y las deficiencias.

También se puede preguntar a los empleados implicados sobre los procesos existentes y las sugerencias de mejora. También es aconsejable establecer un procedimiento por el que los empleados implicados puedean, si es necesario, dirigirse también de forma confidencial a los delegados de la protección de datos e informar de violaciones o incidentes.

La análisis de informes y estadísticas relacionados con los datos de la gestión de riesgos, reclamaciones y seguridad de la información también puede proporcionar información relevante sobre el estado de la protección de datos en la empresa.

Organización y marcos

Para cumplir sistemáticamente con la protección de datos, hay que establecer un marco de aplicación. Sobre todo en las grandes empresas, cada empleado que tenga algo que ver con los datos personales debe ser informado adecuadamente sobre los derechos y obligaciones y los procedimientos a seguir. Por lo tanto, éstos deben estar documentados, por ejemplo, en reglamentos internos como las directrices y políticas de protección de datos. Éstas constituyen la base de todas las normativas posteriores y el establecimiento de un concepto de protección de datos. Por lo tanto, proporcionan orientación a todos los empleados y normas adicionales.

Directrices sobre la privacidad de datos pueden incluir las siguientes normas, por ejemplo:

• Objetivos empresariales sobre la privacidad de los datos
• Compromiso de la dirección con la privacidad de los datos
• Estructura de las directrices
• Responsabilidades y obligaciones
• Carácter vinculante de las directrices sobre privacidad de datos
• Sensibilización y formación
• Aplicación técnica de las directrices de protección de datos y accountability
• Organización de auditorías de privacidad de datos

Hay que crear políticas basadas en las directrices para concretarlas y establecer una normativa adecuada. Dicha política de protección de datos debe regular al menos los siguientes contenidos:

• Introducción o modificación del tratamiento de datos en la empresa
• Evaluación del impacto de la protección de datos
• Registro de las actividades de tratamiento
• Transparencia, derechos de los interesados, información
• Seguridad del tratamiento automatizado
• Tratamiento por encargo
• Incidentes de protección de datos
• Delegado de la protección de datos
• Información y formación
• Responsabilidades
• Descripción del proceso
• Herramientas de control
• Garantizar la mejora continua

Además, se pueden realizar regulaciones sobre el sistema de gestión de la protección de datos, los controles de protección de datos, las auditorías de protección de datos, etc. En particular, las normas sobre los delegados de la protección de datos debería discutirse con más detalle:

En este caso, es fundamental especificar sus derechos y deberes en la asignación de tareas, las competencias o facultades delegadas y, en su caso, las cualificaciones profesionales. Se trata, en particular, de normas sobre:

• La clara obligación de nombrar y documentar al delegado de la protección de datos y notificar a la autoridad de control.
• Las tareas específicas y el cargo del delegado de la protección de datos y la comunicación de estos
• La provisión de suficientes recursos para el desempeño de sus actividades, en particular el tiempo, los recursos financieros, la autoridad y la formación continua
• Suficiente oportunidades de información para el delegado de la protección de datos y la participación en los procesos
• Su deber de confidencialidad
• Su libertad de instrucciones, así como la exención de conflictos de intereses

Conceptos de control

Además, la organización de la supervisión debe estar claramente definida y regulada en detalle en un concepto de supervisión. Éste debería incluir los procesos de la empresa relevantes para la protección de datos y los instrumentos destinados a la supervisión. A este respecto, el concepto de supervisión también debería contar con diferentes enfoques de supervisión, que pueden complementarse entre sí y contribuir a un concepto óptimo.

Seguimiento continuo e ininterrumpido: Los instrumentos de seguimiento deben utilizarse de forma permanente y en la totalidad de los procesos, sistemas y proyectos. 

Vigilancia orientada al riesgo: Lo más importante para la empresa es que los procesos más arriesgados se controlen de forma más estricta para evitar daños financieros y a su reputación. Por lo tanto, es necesario filtrar qué procesos suponen el mayor riesgo para los sujetos de la protección de datos y los responsables y priorizar el enfoque en consecuencia.

Control orientado a los acontecimientos: además de la supervisión periódica y normalmente preventiva, debe darse prioridad al análisis de los sucesos graves, especialmente en el caso de las evaluaciones de impacto sobre la privacidad de los datos y de los incidentes o violaciones de la privacidad de los datos.

Responsabilidades: También es importante la asignación de responsabilidades y la rendición de cuentas para garantizar un seguimiento sin fisuras.

Conclusión

No son sólo los delegados de la protección de datos sino todos los órganos corporativos de una empresa que están obligados a proteger los datos. Los delegados de la protección de datos asumen únicamente una función organizativa, de asesoramiento y, sobre todo, de control.

Además de asesorar al responsable de establecer y aplicar los requisitos de protección de datos e informar y asesorar a los empleados, las tareas de organización y control dentro de la empresa son el día a día de los delegados de la protección de datos.

Los delegados de la protección de datos desempeñan un papel importante en el diseño de los controles de privacidad de los datos y su posterior revisión. También están llamados a planificar y supervisar posteriormente las auditorías y a crear el marco organizativo dentro de la empresa. En este contexto, también tienen la responsabilidad de crear conceptos de supervisión.

Nota: La información indicada puede no estar ya actualizada debido al rápido desarrollo de la era digital y a los cambios en la legislación y la jurisprudencia. Para la investigación se ha utilizado la información de la obra de Ralf Herweg y Thomas Müthlein "Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO", 1ª edición 2020.