Las tareas de los delegados de la protección de datos

Since the introduction of the General Data Protection Regulation (GDPR), the organizational structure of companies and public authorities has changed fundamentally regarding their protection of personal data. For example, the GDPR more clearly delineates the tasks of the individual bodies, and data protection officers have become more important. The protection of data of natural persons is in the foreground.

Pero, ¿cuáles son las tareas de los delegados de la protección de datos? ¿Cómo pueden las empresas garantizar que dichas tareas cumplan los requisitos del RGPD? En este artículo, respondemos a las preguntas más importantes sobre el tema.

Los datos más importantes de un vistazo

  • Delegados de la protección de datos internos y externos asesoran a los órganos responsables (empresas o autoridades) y les apoyan en la aplicación de la normativa de protección de datos dentro de la empresa.
  • Los delegados de la protección de datos externos o de la empresa son contactos tanto dentro como fuera de la empresa: asesoran no sólo a los empresarios, a los trabajadores implicados y, si es necesario, al comité de empresa, sino también a sus clientes y socios contractuales. También colaboran estrechamente con la autoridad supervisora.
  • Una de las tareas de los responsables de la protección de datos es proporcionar formación adicional a los empleados del organismo responsable. Forman parte de las cursos de formación en los que los empleados aprenden más sobre las normativas de protección de datos.

¿Están las empresas obligadas a nombrar un responsable de la protección de datos?

Antes de la reestructuración del RGPD, los delegados de la protección de datos eran también responsables de tareas operativas; desde la reorganización, solo les queda la tarea de apoyar a los organismos responsables en sus propias tareas de protección de datos. Los organismos responsables, por su parte, son los encargados de garantizar que la protección de datos se aplique efectivamente, se organice de forma demostrable y se controle suficientemente.

Aunque según el RGPD, no hay obligación legal de nombrar un delegado de la protección de datos en la mayoría de los casos, puede tener mucho sentido buscar apoyo externo para cumplir con los requisitos de protección de datos. Cada empresa debe decidir si necesita un delegado de protección de datos externo o interno para este fin. En otro artículo, enumeramos las ventajas e inconvenientes de ambas opciones.

La empresa o autoridad también debe funcionar y ser supervisada eficazmente sin un delegado de la protección de datos. Los delegados de la protección de datos pueden actuar como una "pequeña autoridad de supervisión" y asumen un papel de asesoramiento dentro de la empresa o la autoridad. Su tarea consiste en desarrollar y aplicar conceptos de supervisión con el organismo responsable.

¿Qué exige el RGPD a las empresas?

Most companies and public authorities are affected by challenges concerning data protection. In the digital age, automated processing of personal data occurs in almost every company. The resulting data protection obligations are the starting point for the GDPR: The aim is to ensure that all companies comply with data protection laws and responsibly handle the data of natural persons.

Las entidades responsables deben demostrar que cumplen con los requisitos legales (llamado Accountability de la empresa). Las empresas y las autoridades públicas deben conocer sus derechos y obligaciones y organizar sus operaciones de manera que cumplan los requisitos. Si no lo consiguen, esto se conoce como la culpabilidad de la organización, por lo que pueden ser responsables y estar sujetos a costosas sanciones.

Las obligaciones de la empresa incluyen el desarrollo de un concepto de protección de datos, instruir correctamente a los empleados adecuados, y llevar a cabo controles internos para la protección de datos. Aquí es donde entran en juego los delegados de la protección de datos: Como personas de contacto internas, se les confía la supervisión del cumplimiento del RGPD y ayudan a los organismos responsables a minimizar el riesgo de responsabilidad..

Además del delegado de la protección de datos como organismo de control interno, hay organismos de control externos que controlan directa o indirectamente:

  • La autoridad de control competente: Como organismo público y autoridad de control, vigila el cumplimiento de las leyes de protección de datos por parte de las empresas.
  • Personas o asociaciones afectadas: Al ejercer sus derechos (por ejemplo, iniciando acciones legales en caso de violaciones), las personas afectadas pueden ejercer influencia y control sobre la privacidad de los datos en las empresas. A veces, ceden sus derechos a asociaciones especializadas o actúan con la prensa para ejercer su influencia. En consecuencia, las personas afectadas suelen suponer el riesgo más importante para las empresas porque existe la amenaza de una sanción y la pérdida de reputación.
  • Comité de empresa: El comité de empresa se ocupa principalmente de los intereses de los trabajadores y, para ello, también del cumplimiento de las leyes de protección de datos destinadas a proteger a los trabajadores.

Tareas centrales de los delegados de la protección de datos

Los delegados de la protección de datos tienen dos áreas fundamentales: El asesoramiento y la supervisión.
It follows that they first provide advice on the implementation of the GDPR and then review and monitor the implementation and effectiveness of data protection.

Consultoría

Delegados internos y externos de la protección de datos asesoran los órganos responsables y apoyan en la aplicación de la normativa de protección de datos dentro de la empresa. Para ello, pueden proponer estrategias y medidas organizativas. También apoyan a la dirección de su empresa en la resolución de problemas concretos:

  • Informar a los responsables y empleados sobre las obligaciones de protección de datos.
  • Asesorar a los afectados sobre cuestiones relacionadas con el tratamiento de datos y los derechos que les asisten
  • Asesoramiento sobre la aplicación de las evaluaciones de impacto de la protección de datos

Los delegados de la protección de datos son personas de contacto dentro y fuera la empresa: asesoran a los empresarios, a los trabajadores implicados y, si es necesario, al comité de empresa, a sus clientes, proveedores y socios contractuales.

Los delegados de la protección de datos asisten al comité de empresa en calidad de asesores. En este caso, no es infrecuente que se mantengan conversaciones de mediación entre el empresario y el comité de empresa, por lo que no sólo se requiere experiencia, sino también tacto y capacidad de negociación. En la mayoría de los casos, los delegados de la protección de datos tienen que actuar como mediadores neutrales.

También colaboran estrechamente con la autoridad supervisora. En este caso, los delegados de la protección de datos forman un interfaz entre la empresa y la autoridad y colaboran estrechamente con ambas partes para aplicar los requisitos de protección de datos. Si la autoridad supervisora tiene preguntas relacionadas con la protección de datos para la empresa, suele ponerse en contacto directamente con el delegado de la protección de datos como experto.

Los delegados de la protección de datos informan a los responsables y a los empleados que participan en las operaciones de tratamiento sobre sus obligaciones en virtud de la ley de protección de datos. Además, los delegados de la protección de datos asesoran a los responsables sobre las disposiciones de la ley de protección de datos y sobre cómo integrarlas en el proceso operativo. Para ello, pueden proponer estrategias concretas y medidas organizativas. También apoyan a la dirección de su empresa en la resolución de problemas concretos.

Elaboración de conceptos y directrices

Como expertos en la normativa de protección de datos, los delegados de la protección de datos ayudan la creación de documentos legales en este ámbito. Se trata de políticas, acuerdos, uso de Internet o directrices sobre el alcance de las solicitudes de los afectados.

Para ello, el delegado de la protección de datos interviene para aclarar la necesidad o las cuestiones relacionadas sobre cómo proceder. En algunos casos, esto también es necesario tras una consulta previa a la autoridad de control , de la que se encargan los delegados de protección de datos.

Violaciones de la protección de datos

Las violaciones de la protección de datos, por ejemplo, suelen tener que notificarse en un plazo de 72 horas. Este plazo tan breve presupone la existencia de procesos eficaces que permitan a cada empleado detectar una violación de la protección de datos y dar los pasos siguientes. El plazo de un mes para procesar las consultas de los afectados también requiere una estructura y organización establecidas.

Para ello, los responsables de la protección de datos deben apoyar a sus empleadores en el desarrollo y establecimiento de dichos procesos y directrices.

Los delegados de protección de datos también son responsables de asesorar en la preparación de las declaraciones y la documentación de protección de datos. La documentación sobre la protección de datos, en particular, es importante para cumplir con el deber de la Accountability de la empresa.

Educación y formación de los empleados

Una de las tareas de los delegados de protección de datos es comprobar si los empleados de las oficinas responsables han recibido formación adicional. En contra de lo que se suele esperar, la formación de los empleados suele ser responsabilidad del empresario. Sin embargo, los delegados de protección de datos son responsables de supervisar esto y comprobar que se ha hecho correctamente. Por lo tanto, las pruebas son una parte integral de los cursos de formación para los empleados. Se trata de garantizar que todos los empleados estén familiarizados con los requisitos de protección de datos y los apliquen en su trabajo diario.

La revisión de los cursos de formación por parte de los delegados de protección de datos no sólo garantiza la necesaria seguridad jurídica en cuanto al contenido, sino que también tiene un efecto psicológico: los empleados llegan a conocer a los delegados de protección de datos como expertos en su campo y entran en contacto personal con ellos, lo que reduce el umbral de inhibición para hacerles preguntas y consultarles con problemas en su trabajo diario.

Los delegados de protección de datos también informan periódicamente sobre las novedades y las posibilidades de mejora, por ejemplo en un boletín o una circular.

Evaluación del impacto de la privacidad de los datos

Para determinadas categorías de datos, las empresas y las autoridades públicas deben realizar una evaluación de impacto de la protección de datos. Esto implica que el delegado de protección de datos aclare la necesidad o las cuestiones relacionadas con el procesamiento sobre cómo proceder. En algunos casos, esto también es necesario tras una consulta previa a la autoridad de control que realizan los responsables de la protección de datos.

Monitorización

Como interfaz entre la empresa y la autoridad de control, los delegados de protección de datos supervisan el cumplimiento con las directrices de protección de datos :

  • Compliance with data protection obligations when processing personal data following the GDPR. Non-compliance with the GDPR represents an riesgo económico para las empresas debido a las numerosas autoridades de supervisión. Por ello, es aún más importante que utilicen herramientas de gestión de riesgos, como la Plataforma Priverion para operaciones de privacidad, que ayuda a aplicar y supervisar las políticas de protección de datos.
  • Verificación del cumplimiento de las políticas desarrolladas, por ejemplo, responsabilidades o piezas de formación
  • Asignación de responsabilidades a otros empleados
  • La sensibilización de los empleados
  • Cooperación con la autoridad pública
  • Si controles son realizados por el empresario, por ejemplo para garantizar que los empleados cumplen las directrices, los delegados de protección de datos también deben participar.

Registro de actividades de procesamiento

Los responsables están obligados a crear un registro de actividades de procesamiento. Esto es particularmente fácil y eficiente con la Plataforma Priverion para operaciones de privacidadLos delegados de protección de datos asesoran y comprueban que el registro esté completo y sea coherente.

Competencias de los delegados de la protección de datos

Es importante que los delegados de protección de datos sirvan para el autocontrol de la empresa o la autoridad, es decir, que también llamen la atención sobre las quejas y las faltas. Esto también puede ser desagradable para la dirección de la empresa o la autoridad.

No obstante, para poder garantizar un control eficaz, los responsables de la protección de datos están siempre libres de instrucciones en el ejercicio de sus funciones, es decir, los responsables no tienen ninguna influencia en sus acciones y les conceden libertad en sus decisiones y actividades.

For data protection officers to properly perform their duties, they rely on the support of their employer. The GDPR requires responsible entities to provide the necessary resources to enable data protection officers to do their job.

En particular, los siguiente poderes deben ser concedidas por los responsables:

  • La recopilación de información utilizada para identificar las actividades de procesamiento en la empresa.
  • Revisar y analizar la legalidad del tratamiento de datos
  • Actuar con carácter consultivo e informativo frente al responsable del tratamiento.

Al mismo tiempo, también aclara quién es el responsable en caso de que se produzca una deficiencia:

  • El control del cumplimiento de las disposiciones de la ley de protección de datos no implica que el delegado de protección de datos asuma la responsabilidad de una infracción.
  • No es el delegado de protección de datos, sino el organismo responsable el que tiene la obligación de tomar las medidas adecuadas para cumplir con los requisitos legales y también de aportar pruebas de ello. El delegado de protección de datos sólo actúa en calidad de asesor.
  • Compliance with data protection law, in particular the GDPR, es siempre responsabilidad del responsable del tratamiento, no del delegado de protección de datos.

Al mismo tiempo, los delegados de protección de datos están obligados a cumplir siempre las tareas mencionadas en interés de su empleador. La tarea central es, por tanto, trabajar de forma orientada al riesgo .

No sólo deben vigilar el riesgo asociado a las operaciones de tratamiento por parte del afectado, sino que también deben incluir el riesgo para la empresa en caso de infracción legal.

En la práctica, esto significa tomar un enfoque selectivo y pragmático en el cumplimiento de sus tareas, dando siempre prioridad a los mayores riesgos para los afectados y el responsable del tratamiento, y priorizando sus actividades en consecuencia.

Sin embargo, los delegados de protección de datos no deben descuidar ninguna tarea o medida simplemente porque suponga un riesgo comparativamente bajo. Para los delegados de protección de datos, esto se traduce en un equilibrio a veces complejo de las tareas a realizar, que requiere cierta sensibilidad.

¿Es usted delegado de la protección de datos o está pensando en serlo?

Como delegado de protección de datos de la empresa o externo, tiene una multitud de tareas que organizar a diario. Su principio rector es siempre el cumplimiento de todas las normas de protección de datos.

En este campo, usted es la persona que mejor conoce la protección de datos en su empresa o autoridad y proporciona asesoramiento y apoyo a los empleados, a los superiores y a las partes externas. Esto hace que el trabajo sea todo menos aburrido y exige profesionalidad y sensibilidad en el trato con los compañeros.

El equilibrio entre el cumplimiento de todas las normas de protección de datos y la prioridad de los intereses del empresario puede ser especialmente difícil. Siempre debe sopesar debidamente los riesgos para su empresa y para el interesado. Los campos con mayores riesgos deben ser priorizados en consecuencia. Sin embargo, en la estresante rutina diaria, no hay que olvidar las áreas de menor riesgo. El verdadero arte de un delegado de la protección de datos es no perder de vista todos estos requisitos y cumplir con todas las obligaciones. Por ello, las ventajas que aporta la Plataforma Priverion para operaciones de privacidad son muy valoradas.

¿Necesita apoyo en materia de derecho de protección de datos? Nuestro equipo está formado por expertos en derecho de protección de datos, informática y seguridad. Estaremos encantados de apoyarle en la aplicación de los requisitos de protección de datos. Póngase en contacto con nosotros en cualquier momento para una consulta inicial sin compromiso.

Sugerencia de lectura: En este artículo, examinamos más de cerca los instrumentos de control individual del delegado de la protección de datos.