¿Necesitas tener un delegado de protección de datos en tu empresa?

El delegado de protección de datos es una figura que todavía no goza de conocimiento pleno, aunque la legislación actual la convierte en imprescindible para las empresas. Te mostraremos por qué lo necesitas y las principales claves para que comprendas su relevancia desde nuestra experiencia como profesionales de la protección de datos.

Una sanción reciente a Glovo

El Reglamento General de Protección de Datos (RGPD) es claro respecto a las compañías que procesan datos personales a gran escala: están obligadas a contar con un delegado de protección de datos (DPD). Esta figura, que puede ser física o jurídica, será la encargada de responder a las reclamaciones que interpongan los usuarios.

De hecho, un incumplimiento de esta norma llevó a la empresa Glovo a ser multada con 25 000 euros. La AEPD impuso una sanción al no poderse demostrar que disponían de este profesional. La respuesta del negocio fue que habían incorporado a un comité, pero nunca se llegó a reconocer a ninguna persona responsable.

Por lo anterior, desde la compañía interpusieron un recurso ante la Audiencia Nacional. Después de una investigación, fue desestimado y se confirmó la sanción. Recientemente, se supo que la corporación nombró a un DPD poco después de recibir la multa. No obstante, la falta administrativa ya se había producido, por lo que estas sanciones a Glovo constituyen un ejemplo de lo que puede suceder.

¿Qué es un delegado de protección de datos?

Un DPD es una figura que garantiza el cumplimiento de la protección de datos en empresas y organizaciones. Para ello, se ampara en las directrices de la AEPD y en el RGPD como norma fundamental. Puede ser una persona, una compañía o un conjunto de profesionales de la protección de datos.

Hoy en día, están obligados a incorporarla, entre otras, las siguientes organizaciones:

  • Todo tipo de Administración pública: Ayuntamientos, Diputaciones, Comunidades autónomas, etc.
  • Colegios profesionales
  • Centros de enseñanza
  • Universidades
  • Empresas cuya actividad  sea la explotación de redes y prestación de servicios de comunicaciones electrónicas.
  • Sociedades prestadoras de servicios de la sociedad de la información cuando se dediquen a elaborar perfiles de los usuarios del servicio a gran escala. En este caso podemos poner como ejemplo a empresas de márketing y publicidad online.
  • Empresas de crédito.
  • Compañías financieras de crédito (Bancos)
  • Empresas de seguros
  • Empresas de servicios de inversión
  • Entidades distribuidoras y comercializadoras de energía eléctrica y de gas natural
  • Empresas responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Organismos cuyas actividades principales sean la publicidad y prospección comercial
  • Centros sanitarios
  • Empresas cuya principal actividad consiste en emitir informes comerciales referidos a personas físicas.
  • Compañías dedicadas a la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
  • Entidades de seguridad privada

Además, los responsables o encargados del tratamiento no incluidos en la relación anterior podrán designar de manera voluntaria un delegado de protección de datos.

Por otro lado, la legislación actual permite que sea una figura interna o externa. En caso de actuar de manera independiente al negocio, no podrán ser sancionados por sus prácticas, pero tampoco recibir instrucciones. Por ello, muchas entidades especializadas trabajan de esta última forma como partners.

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es clara en este sentido. Se establecen, en dicho texto, las funciones básicas del DPD:

  • Supervisar el cumplimiento del RGPD.
  • Asesorar sobre la materia de protección de datos
  • Responder a las reclamaciones de clientes o personas interesadas.
  • Actuar como enlace entre las autoridades y la organización.
  • Colaborar con las instituciones de control especializadas en el ámbito.
  • Informar al responsable de la entidad sobre las obligaciones en la materia.
  • Comunicar las actualizaciones legales a los empleados y encargados.

La lista de funciones tiene un carácter interpretativo. ¿Qué significa esto? Básicamente, que hay muchas cuestiones más inherentes a esta profesión. Su libertad de actuación comienza y termina en la garantía de la privacidad. Por ejemplo, también es responsable de salvaguardar el derecho al olvido.

Como ves, contratar a un delegado de protección de datos es una inversión económica y eficaz para una empresa, ya que evitará posibles sanciones. Lo importante es controlar el flujo de información confidencial en tu negocio y adaptarlo a la legislación.