
Data breaches happen all the time and everywhere. Nevertheless, it comes as a great shock to companies when, despite all their caution, a data breach occurs in their own business. Data protection officers have the task of minimizing this risk and thus avoiding far-reaching financial and legal consequences. But who is liable in such a case? What should companies and compliance managers look out for? Internal or external data protection officer – what risks do the options entail? In this article, we answer the most important questions about the topic.
El General Data Protection Regulation (GDPR), which came into force in 2018, has resulted in stricter data protection requirements for companies. In particular, this concerns the principles of lawfulness, purpose limitation, and transparency of data and its processing. Violations of the GDPR can result in multas millonarias.
Los delegados de protección de datos de las empresas (DPD) son los encargados de controlar y supervisar the data protection requirements of the RGPD. It is about the company’s self-monitoring, checking whether the regulations of the GDPR are being complied with to avoid reclamaciones por daños y perjuicios contra la empresa.
Además de supervisar y controlar la empresa, los delegados de la protección de datos también actúan en calidad de asesores e informadores. Colaboran estrechamente con la dirección para garantizar el máximo nivel posible de protección de datos. También cooperan estrechamente con la autoridad de control competente.
El introduction of the RGPD ha aumentado significativamente el alcance de las tareas y actividades de los delegados de la protección de datos. Esto también conlleva una mayor responsabilidad, por lo que los empleados que asumen este cargo tienen obligaciones más amplias.
En algunos casos, las empresas pueden estar obligadas a nombrar delegados internos de protección de datos. En Alemania, este es siempre el caso si al menos 20 personas están permanentemente encargadas del tratamiento automatizado de datos personales.
Además, se requiere un delegado interno de protección de datos en los siguientes casos (art. 37 del RGPD):
En consecuencia, depende de la actividad principal y del alcance del tratamiento si se requiere un delegado de protección de datos. Además, los datos se dividen en diferentes categorías (art. 9 del RGPD).
La cuestión del coste de un delegado de protección de datos se plantea cada vez con más frecuencia, y con razón. Las pequeñas y medianas empresas, en particular, suelen tener que arreglárselas con un presupuesto manejable para cumplir los requisitos legales.
En el caso de los in-house data protection officers, the costs depend on their previous salaries. A salary increase may make sense if employees take on additional tasks. In this case, however, you may have to adjust or extend the employment contract accordingly. In addition, the internal solution may incur costes adicionales por formación y perfeccionamiento, así como por la inversión de tiempo en nuevas tareas, que luego se echa en falta en otros lugares.
En el caso de los delegados de protección de datos externos, the fee depends on their personal knowledge, unique qualification, time commitment, and the company’s requirements for the service. The costs can also vary depending on demanda del mercado.
La solución externa permite calcular mejor los costes, ya que sólo se incurre en los costes mensuales de los delegados externos de protección de datos. Los costes adicionales, menos transparentes, que se derivan, por ejemplo, de la formación continua o de la reestructuración operativa, no se aplican en este caso.
Do you need data protection support? Our team has in-depth expertise in data protection law, IT, and security and will be happy to support you in implementing data protection regulations. Contact us at any time for an initial consultation.
En principio, cualquier persona puede asumir una actividad como delegado de protección de datos si posee las cualificaciones profesionales necesarias, experiencia en el ámbito de la legislación sobre protección de datos así como por la y/o la de un delegado de protección de datos (artículo 37, apartado 5, del RGPD).
Este es principalmente el caso de los delegados de protección de datos externos, ya que tienen experiencia práctica. En cambio, en el caso de los delegados de protección de datos internos, la cosa se complica. Deben estar suficientemente formados en la legislación y la práctica de la protección de datos para que tengan los conocimientos necesarios. También hay que asegurarse de que no estén sujetos a ningún conflicto de intereses y de que dispongan de todas las facultades necesarias para desempeñar sus funciones (por ejemplo, acceso a los datos y plataformas necesarios).
Nuestro consejo: a la hora de nombrar un delegado de protección de datos interno, tenga en cuenta los criterios enumerados, pero también los conocimientos previos de sus empleados.
Si ha nombrado un delegado de protección de datos interno o externo, presente la información a la autoridad de control competente y publíquela también en su sitio web.
En principio, los responsables de la protección de datos actúan en nombre de su empresa y les asesoran sobre el cumplimiento de las normas de protección de datos. If these are not complied with, the damaged persons can take action against your company. In some exceptional cases, the damaged persons – or even you as a company – can take action against the data protection officer.
Los delegados de la protección de datos son responsables frente a la empresa por daños y perjuicios, en particular si proporcionan a la empresa un asesoramiento incorrecto o incumplen sus deberes de aclaración o información y provocan así una multa por parte de la autoridad de control.
Nuestro consejo: if you don’t want to expose your employees to this risk, you can agree on a so-called cláusula de descargo de responsabilidad. with your data protection officer. Such an agreement excludes private liability and thus reduces it to the company’s liability. Otherwise, internal data privacy officers would be exposed to risk, which can make the position in your company very unattractive.
External data privacy officers do not enter into an employment relationship with your company, so no permanent position is required. The advantage here is that you bear poca responsabilidad con respecto al delegado externo de la protección de datos.
En comparación con los delegados de protección de datos internos, existe un mayor nivel de responsabilidad. toward delegados internos de protección de datos. Internal data protection officers work within your company and usually take on the position of data protection officer in addition to their actual job. The responsabilidad limitada protege a los empleados de su empresa:
The burden of proof también puede resultar problemática. Si se produce un error interno, la empresa soporta la carga de la prueba para demostrar la culpa. Concretamente: le corresponde probar en un procedimiento judicial si el acto se cometió o no con negligencia grave o dolo para excluir la responsabilidad por su parte.
Do you have open questions on this topic? Our legally trained staff will be happy to advise you comprehensively on all questions of data protection law. Don’t hesitate to get in touch with us at any time.
Determinados puestos gozan de una protección especial contra el despido – including the role of the internal data protection officer. This means that the data protection officer cannot be effectively terminated unless there is good cause for the termination (§ 6 Abs. 4 GDPR).
Si emite un preaviso ordinario de despido, debe motivarlo suficientemente. Este procedimiento tiene por objeto proteger a los delegados de la protección de datos de ser despedidos o perjudicados si desempeñan sus funciones de forma que desagrade a la empresa.
Esta protección especial contra el despido continúa durante un año aunque los delegados de la protección de datos dimitan de su cargo. En el plazo de un año tras la dimisión, el despido ordinario sigue requiriendo una causa justificada.
La situación es diferente para los delegados externos de la protección de datos: al no tener una relación laboral con su empresa, los delegados externos de la protección de datos son plenamente responsable ante la parte perjudicada, incluso en casos de negligencia leve. El perjudicado puede ser un tercero (por ejemplo, un cliente) o usted mismo como empresa.
Por supuesto, puede acordarse una limitación de responsabilidad entre usted y los delegados externos de la protección de datos. Muchos delegados de protección de datos externos también ofrecen una exención de responsabilidad para la empresa como parte de sus servicios. Los baremos exactos de responsabilidad suelen figurar en las condiciones generales o en los contratos, o pueden negociarse con el proveedor. Por regla general, el seguro de responsabilidad profesional del delegado de protección de datos asume la responsabilidad si le ha asesorado de forma insuficiente o incorrecta.
Otra ventaja de los delegados de protección de datos externos es que evitan conflictos de intereses. Con los proveedores de servicios externos, usted como empresa siempre puede rescindir los contratos y no tener disputas ni conflictos de derecho laboral dentro de su empresa.
Las empresas con delegados internos de protección de datos son responsables de todos los daños causados por sus empleados por negligencia leve o normal, en todo o en parte. También son responsables si no pueden demostrar que el delegado interno de protección de datos es responsable por sí mismo (por ejemplo, en caso de negligencia grave o dolo).
En el caso de los delegados de la protección de datos externos, el factor decisivo es la normativa sobre responsabilidad de su contrato de servicios. Aquí puede acordarse desde una limitación de la responsabilidad hasta una exención total de la misma. Una exención de responsabilidad a favor de las empresas es lo más atractivo para ellas y, por tanto, se acuerda en la mayoría de los casos.
Las empresas deben asegurarse de que se cumplen todas las directrices de protección de datos, en particular el RGPD. Si no se nombran un delegado de protección de datos, aunque sea obligatorio para su empresa, deben esperar sanciones y multas elevadas.
También deben evitarse los conflictos de intereses. Si, por ejemplo, la dirección de la empresa se nombra a sí misma delegado de la protección de datos o un asesor fiscal entra en funciones, este nombramiento carece de validez.
Aunque los delegados de la protección de datos asesoran y supervisan la protección de datos de su empresa, no están obligados por sí mismos a aplicar la normativa de protección de datos. Esta tarea corresponde a las propias empresas.
Por lo tanto, los delegados de la protección de datos como tales no pueden ser fácilmente procesados por infracciones de las normas de protección de datos. Sin embargo, la responsabilidad penal por complicidad en violaciones de la protección de datos es ciertamente posible, por ejemplo si una violación no se previene o no se denuncia deliberadamente.
Como ocurre con todos los empleados, los delegados de la protección de datos deben trabajar cuidadosa y concienzudamente para protegerse contra supuestas reclamaciones por daños y perjuicios. Además, el propio trabajo debe documentarse siempre para poder presentar pruebas del trabajo realizado en caso de duda. Esto es posible documentando las actividades en la plataform Priverion.
También se debe asistir regularmente a cursos de formación y perfeccionamiento should also be attended to keep one’s expertise and specialist knowledge up to date. Therefore, offer the opportunity to regularly participate in professional events and training courses.
Si los delegados de la protección de datos tienen conocimiento de infracciones de la ley de protección de datos, la autoridad supervisora responsable debe intervenir en caso de duda. La consideración de esta decisión debe documentarse siempre para poder rebatir supuestas reclamaciones por parte de la empresa. Las partes afectadas deben discutir primero todos los pasos con la empresa respectiva antes de denunciar el caso.
Dado que el RGPD impone la perspectiva de multas millonarias en caso de infracción, incluso una responsabilidad limitada puede tener consecuencias financieras de gran alcance. A esto hay que añadir las reclamaciones no materiales por daños y perjuicios de las personas afectadas.
Para proteger a sus empleados, también existe la posibilidad de contratar un seguro de responsabilidad profesional además de la cláusula de descargo de responsabilidad. Estos costes pueden correr a cargo de las respectivas empresas.
Siempre hay que tener en cuenta que, incluso con una exención de responsabilidad o un seguro, es esencial trabajar a conciencia y con diligencia. Esto se debe a que ni la exención de responsabilidad ni el seguro de responsabilidad profesional se aplican en casos de dolo o negligencia grave.
Las tareas y obligaciones de los delegados de la protección de datos se han ampliado considerablemente con el RGPD. Esto no solo conlleva una mayor carga de trabajo, sino también un mayor riesgo de responsabilidad.
Many companies prefer to appoint delegados internos de protección de datos rather than leave this task to external service providers. It is understandable that many trusts their employees more than external service providers. After all, internal people are already integrated into the workflow and know the structures and processes within the company.
Sin embargo, esto también puede facilitar que pasen por alto problemas que ya existen en la empresa. Además, no hay que subestimar ni pasar por alto los posibles conflictos de intereses .
Recuerde: si contrata a un delegado interno de la protección de datos, expone a su empresa, pero también a su personal, a riesgos legales. Formar y educar profesionalmente a los empleados internos para que puedan llevar a cabo sus nuevas actividades de forma adecuada y fiable requiere tiempo y dinero.
El tiempo invertido en la iniciación y la formación no puede dedicarse a otra actividad de la empresa. La falta de experiencia práctica en este campo puede hacer que todo el proceso resulte más ineficaz que cuando se contrata a un delegado de protección de datos externo.
Un experto externo en protección de datos suele tener una formación específica, una posición neutral y, a menudo, muchos años de experiencia en la ley de protección de datos. Además, no está sujeto a ninguna limitación de responsabilidad, por lo que usted estará mejor protegido frente a reclamaciones por daños y perjuicios.
A pesar de los posibles costes ligeramente superiores de un delegado de protección de datos externo, puede tener sentido desde el punto de vista económico contar con apoyo externo debido a la reducción de riesgos conseguida, Especially since the cost comparison often does not correctly include all the costs of the company’s internal employee (training, ancillary wage costs, protection against dismissal).