Data breaches happen all the time and everywhere. Nevertheless, it comes as a great shock to companies when, despite all their caution, a data breach occurs in their own business. Data protection officers have the task of minimizing this risk and thus avoiding far-reaching financial and legal consequences. But who is liable in such a case? What should companies and compliance managers look out for? Internal or external data protection officer – what risks do the options entail? In this article, we answer the most important questions about the topic.

Los hechos más importantes de un vistazo

• Con nuestros RGPD in force, requisitos más estrictos en materia de protección de datos. Las empresas están obligadas a aplicar la normativa de protección de datos y, en caso necesario, a nombrar a un delegado de protección de datos.
• También ha aumentado el riesgo de responsabilidad. En caso de infracción del RGPD, tanto las empresas como los delegados de la protección de datos pueden ser responsables. En este contexto, se prevén multas millonarias relacionadas con el volumen de negocios. Algunos países, como Suiza, incluso sólo conocen las multas personales.
• Los delegados de la protección de datos de las empresas son nombrados internamente y, por tanto, gozan de una protección especial contra el despido. Se benefician de una exención de responsabilidad y pueden tener que recibir formación adicional adecuada.
• En el caso de los delegados de protección de datos externos, la responsabilidad puede acordarse individualmente y a favor de la empresa. El personal externo tampoco está sujeto a ningún conflicto de intereses y tiene una experiencia práctica más profunda en la protección de datos.

¿Qué hacen los delegados de la protección de datos?

El General Data Protection Regulation (GDPR), which came into force in 2018, has resulted in stricter data protection requirements for companies. In particular, this concerns the principles of lawfulness, purpose limitation, and transparency of data and its processing. Violations of the GDPR can result in multas millonarias.

Los delegados de protección de datos de las empresas (DPD) son los encargados de controlar y supervisar the data protection requirements of the RGPD. It is about the company’s self-monitoring, checking whether the regulations of the GDPR are being complied with to avoid reclamaciones por daños y perjuicios contra la empresa.

Además de supervisar y controlar la empresa, los delegados de la protección de datos también actúan en calidad de asesores e informadores. Colaboran estrechamente con la dirección para garantizar el máximo nivel posible de protección de datos. También cooperan estrechamente con la autoridad de control competente.

El introduction of the RGPD ha aumentado significativamente el alcance de las tareas y actividades de los delegados de la protección de datos. Esto también conlleva una mayor responsabilidad, por lo que los empleados que asumen este cargo tienen obligaciones más amplias.

¿Quién debe contratar a delegados de la protección de datos?

En algunos casos, las empresas pueden estar obligadas a nombrar delegados internos de protección de datos. En Alemania, este es siempre el caso si al menos 20 personas están permanentemente encargadas del tratamiento automatizado de datos personales.

Además, se requiere un delegado interno de protección de datos en los siguientes casos (art. 37 del RGPD):

• El tratamiento de datos lo realiza una autoridad pública u otro organismo público.
• The company’s principal de la empresa consiste en el tratamiento de datos personales especiales que requieren una supervisión sistemática (especialmente en el caso del tratamiento automatizado de datos).
• The company’s principal de la empresa consiste en el tratamiento extensivo de datos personales sensibles de categorías especiales (art. 9 del RGPD).
• La empresa procesa datos personales relacionados con delitos o condenas penales (art. 10 del RGPD).

En consecuencia, depende de la actividad principal y del alcance del tratamiento si se requiere un delegado de protección de datos. Además, los datos se dividen en diferentes categorías (art. 9 del RGPD).

¿Cuánto cuesta un delegado de protección de datos?

La cuestión del coste de un delegado de protección de datos se plantea cada vez con más frecuencia, y con razón. Las pequeñas y medianas empresas, en particular, suelen tener que arreglárselas con un presupuesto manejable para cumplir los requisitos legales.

En el caso de los in-house data protection officers, the costs depend on their previous salaries. A salary increase may make sense if employees take on additional tasks. In this case, however, you may have to adjust or extend the employment contract accordingly. In addition, the internal solution may incur costes adicionales por formación y perfeccionamiento, así como por la inversión de tiempo en nuevas tareas, que luego se echa en falta en otros lugares.

En el caso de los delegados de protección de datos externos, the fee depends on their personal knowledge, unique qualification, time commitment, and the company’s requirements for the service. The costs can also vary depending on demanda del mercado.

La solución externa permite calcular mejor los costes, ya que sólo se incurre en los costes mensuales de los delegados externos de protección de datos. Los costes adicionales, menos transparentes, que se derivan, por ejemplo, de la formación continua o de la reestructuración operativa, no se aplican en este caso.

Do you need data protection support? Our team has in-depth expertise in data protection law, IT, and security and will be happy to support you in implementing data protection regulations. Contact us at any time for an initial consultation.

¿Quién puede ser delegado de protección de datos?

En principio, cualquier persona puede asumir una actividad como delegado de protección de datos si posee las cualificaciones profesionales necesarias, experiencia en el ámbito de la legislación sobre protección de datos así como por la y/o la de un delegado de protección de datos (artículo 37, apartado 5, del RGPD).

Este es principalmente el caso de los delegados de protección de datos externos, ya que tienen experiencia práctica. En cambio, en el caso de los delegados de protección de datos internos, la cosa se complica. Deben estar suficientemente formados en la legislación y la práctica de la protección de datos para que tengan los conocimientos necesarios. También hay que asegurarse de que no estén sujetos a ningún conflicto de intereses y de que dispongan de todas las facultades necesarias para desempeñar sus funciones (por ejemplo, acceso a los datos y plataformas necesarios).

Nuestro consejo: a la hora de nombrar un delegado de protección de datos interno, tenga en cuenta los criterios enumerados, pero también los conocimientos previos de sus empleados.

Si ha nombrado un delegado de protección de datos interno o externo, presente la información a la autoridad de control competente y publíquela también en su sitio web.

¿Son responsables los delegados de protección de datos?

En principio, los responsables de la protección de datos actúan en nombre de su empresa y les asesoran sobre el cumplimiento de las normas de protección de datos. If these are not complied with, the damaged persons can take action against your company. In some exceptional cases, the damaged persons – or even you as a company – can take action against the data protection officer.

Los delegados de la protección de datos son responsables frente a la empresa por daños y perjuicios, en particular si proporcionan a la empresa un asesoramiento incorrecto o incumplen sus deberes de aclaración o información y provocan así una multa por parte de la autoridad de control.

Nuestro consejo: if you don’t want to expose your employees to this risk, you can agree on a so-called cláusula de descargo de responsabilidad. with your data protection officer. Such an agreement excludes private liability and thus reduces it to the company’s liability. Otherwise, internal data privacy officers would be exposed to risk, which can make the position in your company very unattractive.

¿Cuál es la liabilidad de los delegados internos de la protección de datos?

Riesgo de responsabilidad de los delegados internos de la protección de datos

External data privacy officers do not enter into an employment relationship with your company, so no permanent position is required. The advantage here is that you bear poca responsabilidad con respecto al delegado externo de la protección de datos.

En comparación con los delegados de protección de datos internos, existe un mayor nivel de responsabilidad. toward delegados internos de protección de datos. Internal data protection officers work within your company and usually take on the position of data protection officer in addition to their actual job. The responsabilidad limitada protege a los empleados de su empresa:

• Los delegados internos de protección de datos no son responsables en caso de error por negligencia leve. En este caso, su empresa deberá asumir la totalidad de los daños.
• En el caso de los En cambio, en caso de hay un proceso de equilibrio para que los empleados y la empresa soporten los daños a partes iguales.
• Sólo en caso de negligencia grave o dolo, los delegados internos de la protección de datos pueden ser plenamente responsables si así se ha acordado en el contrato de trabajo. No se prevé una ampliación de la responsabilidad a la negligencia leve o media.

The burden of proof también puede resultar problemática. Si se produce un error interno, la empresa soporta la carga de la prueba para demostrar la culpa. Concretamente: le corresponde probar en un procedimiento judicial si el acto se cometió o no con negligencia grave o dolo para excluir la responsabilidad por su parte.

Do you have open questions on this topic? Our legally trained staff will be happy to advise you comprehensively on all questions of data protection law. Don’t hesitate to get in touch with us at any time.

Protección especial contra el despido

Determinados puestos gozan de una protección especial contra el despido – including the role of the internal data protection officer. This means that the data protection officer cannot be effectively terminated unless there is good cause for the termination (§ 6 Abs. 4 GDPR).

Si emite un preaviso ordinario de despido, debe motivarlo suficientemente. Este procedimiento tiene por objeto proteger a los delegados de la protección de datos de ser despedidos o perjudicados si desempeñan sus funciones de forma que desagrade a la empresa.

Esta protección especial contra el despido continúa durante un año aunque los delegados de la protección de datos dimitan de su cargo. En el plazo de un año tras la dimisión, el despido ordinario sigue requiriendo una causa justificada.

¿Cuál es la liabilidad de los delegados externos de la protección de datos?

La situación es diferente para los delegados externos de la protección de datos: al no tener una relación laboral con su empresa, los delegados externos de la protección de datos son plenamente responsable ante la parte perjudicada, incluso en casos de negligencia leve. El perjudicado puede ser un tercero (por ejemplo, un cliente) o usted mismo como empresa.

Por supuesto, puede acordarse una limitación de responsabilidad entre usted y los delegados externos de la protección de datos. Muchos delegados de protección de datos externos también ofrecen una exención de responsabilidad para la empresa como parte de sus servicios. Los baremos exactos de responsabilidad suelen figurar en las condiciones generales o en los contratos, o pueden negociarse con el proveedor. Por regla general, el seguro de responsabilidad profesional del delegado de protección de datos asume la responsabilidad si le ha asesorado de forma insuficiente o incorrecta.

Otra ventaja de los delegados de protección de datos externos es que evitan conflictos de intereses. Con los proveedores de servicios externos, usted como empresa siempre puede rescindir los contratos y no tener disputas ni conflictos de derecho laboral dentro de su empresa.

¿Cuándo son responsables las empresas de las violaciones de la protección de datos?

Las empresas con delegados internos de protección de datos son responsables de todos los daños causados por sus empleados por negligencia leve o normal, en todo o en parte. También son responsables si no pueden demostrar que el delegado interno de protección de datos es responsable por sí mismo (por ejemplo, en caso de negligencia grave o dolo).

En el caso de los delegados de la protección de datos externos, el factor decisivo es la normativa sobre responsabilidad de su contrato de servicios. Aquí puede acordarse desde una limitación de la responsabilidad hasta una exención total de la misma. Una exención de responsabilidad a favor de las empresas es lo más atractivo para ellas y, por tanto, se acuerda en la mayoría de los casos.

Las empresas deben asegurarse de que se cumplen todas las directrices de protección de datos, en particular el RGPD. Si no se nombran un delegado de protección de datos, aunque sea obligatorio para su empresa, deben esperar sanciones y multas elevadas.

También deben evitarse los conflictos de intereses. Si, por ejemplo, la dirección de la empresa se nombra a sí misma delegado de la protección de datos o un asesor fiscal entra en funciones, este nombramiento carece de validez.

¿Pueden ser procesados los delegados de la protección de datos?

Aunque los delegados de la protección de datos asesoran y supervisan la protección de datos de su empresa, no están obligados por sí mismos a aplicar la normativa de protección de datos. Esta tarea corresponde a las propias empresas.

Por lo tanto, los delegados de la protección de datos como tales no pueden ser fácilmente procesados por infracciones de las normas de protección de datos. Sin embargo, la responsabilidad penal por complicidad en violaciones de la protección de datos es ciertamente posible, por ejemplo si una violación no se previene o no se denuncia deliberadamente.

¿Cómo pueden protegerse los delegados de la protección de datos?

Como ocurre con todos los empleados, los delegados de la protección de datos deben trabajar cuidadosa y concienzudamente para protegerse contra supuestas reclamaciones por daños y perjuicios. Además, el propio trabajo debe documentarse siempre para poder presentar pruebas del trabajo realizado en caso de duda. Esto es posible documentando las actividades en la plataform Priverion.

También se debe asistir regularmente a cursos de formación y perfeccionamiento should also be attended to keep one’s expertise and specialist knowledge up to date. Therefore, offer the opportunity to regularly participate in professional events and training courses.

Si los delegados de la protección de datos tienen conocimiento de infracciones de la ley de protección de datos, la autoridad supervisora responsable debe intervenir en caso de duda. La consideración de esta decisión debe documentarse siempre para poder rebatir supuestas reclamaciones por parte de la empresa. Las partes afectadas deben discutir primero todos los pasos con la empresa respectiva antes de denunciar el caso.

Dado que el RGPD impone la perspectiva de multas millonarias en caso de infracción, incluso una responsabilidad limitada puede tener consecuencias financieras de gran alcance. A esto hay que añadir las reclamaciones no materiales por daños y perjuicios de las personas afectadas.

Para proteger a sus empleados, también existe la posibilidad de contratar un seguro de responsabilidad profesional además de la cláusula de descargo de responsabilidad. Estos costes pueden correr a cargo de las respectivas empresas.

Siempre hay que tener en cuenta que, incluso con una exención de responsabilidad o un seguro, es esencial trabajar a conciencia y con diligencia. Esto se debe a que ni la exención de responsabilidad ni el seguro de responsabilidad profesional se aplican en casos de dolo o negligencia grave.

Conclusión

Las tareas y obligaciones de los delegados de la protección de datos se han ampliado considerablemente con el RGPD. Esto no solo conlleva una mayor carga de trabajo, sino también un mayor riesgo de responsabilidad.

Many companies prefer to appoint delegados internos de protección de datos rather than leave this task to external service providers. It is understandable that many trusts their employees more than external service providers. After all, internal people are already integrated into the workflow and know the structures and processes within the company.

Sin embargo, esto también puede facilitar que pasen por alto problemas que ya existen en la empresa. Además, no hay que subestimar ni pasar por alto los posibles conflictos de intereses .

Recuerde: si contrata a un delegado interno de la protección de datos, expone a su empresa, pero también a su personal, a riesgos legales. Formar y educar profesionalmente a los empleados internos para que puedan llevar a cabo sus nuevas actividades de forma adecuada y fiable requiere tiempo y dinero.

El tiempo invertido en la iniciación y la formación no puede dedicarse a otra actividad de la empresa. La falta de experiencia práctica en este campo puede hacer que todo el proceso resulte más ineficaz que cuando se contrata a un delegado de protección de datos externo.

Un experto externo en protección de datos suele tener una formación específica, una posición neutral y, a menudo, muchos años de experiencia en la ley de protección de datos. Además, no está sujeto a ninguna limitación de responsabilidad, por lo que usted estará mejor protegido frente a reclamaciones por daños y perjuicios.

A pesar de los posibles costes ligeramente superiores de un delegado de protección de datos externo, puede tener sentido desde el punto de vista económico contar con apoyo externo debido a la reducción de riesgos conseguida, Especially since the cost comparison often does not correctly include all the costs of the company’s internal employee (training, ancillary wage costs, protection against dismissal).