Además de los responsables externos de la protección de datos, un empleado también puede ser nombrado responsable (interno) de la protección de datos. Sin embargo, aquí puede averiguar qué restricciones existen y cuáles pueden ser las consecuencias de una infracción.
Nombramiento de un responsable de la protección de datos
Algunas empresas están obligadas a designar un responsable de la protección de datos. Puede saber exactamente cuáles aquí.
En resumen, puede decirse que la principal tarea de un delegado de protección de datos es asesorar a la empresa sobre sus obligaciones en materia de protección de datos y supervisar el cumplimiento de la normativa al respecto. Esta tarea puede ser realizada por alguien interno que ya sea empleado de la empresa o puede contratarse a un responsable de protección de datos externo. Más información sobre las diferencias entre estas opciones y el funcionamiento de un delegado de protección de datos externo aquí.
Limitación: conflicto de intereses
Por lo que respecta al nombramiento de un delegado de protección de datos, el artículo 38 VI 2 del RGPD impone una restricción. El cargo de responsable de la protección de datos sólo puede ser ejercido por personas que no estén sujetas a un conflicto de intereses debido a otras funciones.
Este problema se plantea especialmente en el caso de los propios empleados de la empresa. Por ejemplo, los empleados en puestos directivos no pueden actuar como responsables de la protección de datos de la empresa si toman decisiones importantes relacionadas con el tratamiento de datos personales en el curso de su trabajo. Se produciría entonces un conflicto de intereses, ya que el empleado tendría que revisar sus propias decisiones en su función de responsable de la protección de datos, es decir, controlarse a sí mismo.
Ejemplo de conflicto de intereses en Berlín
El Comisario de Protección de Datos y Libertad de Información de Berlín impuso recientemente una multa de 525.000 euros a la filial de un grupo minorista berlinés por un conflicto de intereses del correspondiente responsable de protección de datos. La multa aún no es jurídicamente vinculante.
La persona designada por la empresa como responsable de la protección de datos era al mismo tiempo el director gerente de dos proveedores de servicios que trataban datos como procesadores de pedidos para la empresa. Estas empresas de servicios también formaban parte del grupo. Aquí se produjo la situación descrita anteriormente. El responsable de la protección de datos tenía que supervisar y controlar las actividades que se llevaban a cabo bajo su responsabilidad como director gerente.
El jefe en funciones del comisario de protección de datos de Berlín resumió así el problema: "Un comisario de protección de datos no puede controlar el cumplimiento de la ley de protección de datos, por un lado, y codecidir sobre ella, por otro. Este autocontrol contradice la función de un comisario de protección de datos, que se supone que es precisamente una autoridad independiente que trabaja por el cumplimiento de la protección de datos en la empresa."
A la hora de imponer la multa, se tuvo en cuenta que la empresa ya había sido advertida el año pasado por los mismos hechos.
También puede leer más sobre este incidente en el Comunicado de prensa del Comisario de Protección de Datos de Berlín.
Consejos para la práctica
La selección de un responsable de la protección de datos debe ser muy meditada. Los conflictos de intereses pueden surgir rápidamente en el caso de los funcionarios internos, lo que haría que el nombramiento fuera contrario a la ley de protección de datos.
Este problema puede contrarrestarse nombrando a un responsable externo de la protección de datos. Más información sobre las ventajas de un delegado de protección de datos externo aquí.
Póngase en contacto con nosotrospara que nuestro equipo de expertos le asesore sobre las posibilidades que podemos ofrecerle como delegado externo de protección de datos.