¿Cuándo es obligatorio un delegado de protección de datos?

En casi todas las empresas se tratan datos personales. Se aplican obligaciones especiales a la hora de tratarlos y, en algunos casos, el nombramiento de un responsable de la protección de datos también forma parte de ello. Pero, ¿cuándo es obligatorio un delegado de protección de datos? ¿Qué opciones existen para cumplir dicha obligación?

Obligación de designar un responsable de la protección de datos

El artículo 37 del RGPD y el artículo 38 de la BDSG imponen al responsable del tratamiento la obligación de nombrar a un delegado de protección de datos en determinados casos. Si se cumplen los requisitos establecidos en la ley, es obligatorio nombrar a un responsable de la protección de datos. Todos los demás responsables del tratamiento son libres de nombrar a un delegado de protección de datos.

Requisitos

El RGPD exige que el responsable del tratamiento designe a un delegado de protección de datos,

• si el tratamiento lo lleva a cabo una autoridad u organismo público (no se incluyen los tribunales en el contexto de sus actividades judiciales) o
• cuando la actividad principal implique operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran un control a gran escala de forma periódica y sistemática o
• si se tratan datos de categoría especial con arreglo al artículo 9 del RGPD o datos sobre condenas e infracciones penales (artículo 10 del RGPD) como parte de la actividad principal.

Así pues, el RGPD establece un marco bastante estrecho en el que el nombramiento de un delegado de protección de datos es realmente obligatorio. El objetivo es abarcar los ámbitos en los que se tratan datos personales especialmente sensibles o especialmente extensos.

Sin embargo, la BDSG amplía estos requisitos, de modo que el ámbito de aplicación de la obligación no es tan reducido después de todo. Según el artículo 38 de la BDSG, la designación también es obligatoria en Alemania,

• si, por regla general, al menos 20 personas trabajan permanentemente en el tratamiento automatizado de datos personales o independientemente del número de personas que se dediquen a la transformación
• si se llevan a cabo operaciones de tratamiento sujetas a una evaluación de impacto sobre la protección de datos de conformidad con el artículo 35 de la DSGVO o
• si los datos personales se tratan sobre una base comercial con fines de transmisión, transmisión anonimizada o con fines de estudios de mercado o de opinión.

Sin embargo, el umbral de 20 personas empleadas no es tan claro como parece a primera vista:

El umbral de 20 personas debe alcanzarse "por regla general". Esto significa que se considera el número de personas empleadas en el tratamiento automatizado de datos personales durante un periodo de un año, o el número que se empleará en el contexto de una previsión.

Las personas también deben estar empleadas "de forma continua", lo que significa que la tarea es realizada por estas personas de forma regular. No es necesario que el tratamiento de datos personales sea la tarea principal o el núcleo de la actividad de la persona. Basta con que el tratamiento de los datos personales tenga lugar en el contexto de la actividad específica. Basta con que la persona esté conectada a un sistema de comunicación como Outlook o tenga acceso a los directorios de direcciones propios de la empresa. Al examinar si se ha superado el valor umbral, se incluye a los empleados que no tienen más competencias que la visualización de datos personales.

Esto significa que algunas empresas en Alemania están sujetas a la obligación de nombrar un responsable de la protección de datos que puede que ni siquiera lo sepan. La no designación de un delegado de protección de datos se considera ahora una infracción formal media, que suele costar entre 20.000 y 30.000 euros (dependiendo del volumen de negocio) en multas.

¿Oficial de protección de datos interno o externo?

Las empresas no sólo podrían nombrar a un empleado como responsable de la protección de datos, además de su trabajo normal en la empresa, sino también designar a una persona externa para esta tarea.

Si se elige a un empleado interno, tendrá que recibir mucha formación. Además, tienen que recibir formación periódicamente y, por tanto, incurren en costes adicionales con menos mano de obra para las tareas reales. Debido a este esfuerzo, el puesto suele ser muy impopular entre los empleados. Además, a menudo es difícil para el personal interno mantener una visión de conjunto de toda la empresa y así poder desempeñar sus funciones con eficacia. Un empleado interno debe ser imparcial y no puede controlarse a sí mismo; los empleados de TI o los empleados con responsabilidad de personal o de división, así como todos los empleados en puestos de dirección y los empleados con órganos corporativos ya están excluidos de esto.

Si, por el contrario, opta por un consultor externo, podrá confiar en su experiencia certificada y no tendrá que preocuparse por la formación continua. Además, los honorarios fijos facilitan calcular los costes adicionales y mantenerlos dentro de unos límites razonables. El responsable externo de la protección de datos suele tener una mejor visión de conjunto y mantiene la neutralidad.

Sin embargo, cuál es la mejor alternativa para una empresa debe decidirse caso por caso.

¿Son necesarios varios responsables de protección de datos?

En principio, es posible nombrar un responsable común de la protección de datos para varios organismos que estén bajo la misma dirección.

De conformidad con el artículo 37 II, las empresas pueden designar a un responsable de la protección de datos conjunto del grupo. Encontrará más información al respecto aquí.

Según el Art. 37 III, lo mismo se aplica a las autoridades y organismos públicos si ello es posible de acuerdo con la estructura organizativa.

PREGUNTAS FRECUENTES

P: ¿Cuándo es necesario un delegado de protección de datos?

R: Según el RGPD, se requiere un delegado de protección de datos a partir de un determinado número de empleados o para determinados tipos de operaciones de tratamiento de datos.

P: ¿Cuándo debe nombrarse un delegado de protección de datos?

R: Debe nombrarse un responsable de la protección de datos si en una empresa se tratan datos personales con regularidad, independientemente del tamaño de la empresa.

P: ¿Cuáles son las tareas del responsable de protección de datos de una empresa?

R: El responsable de protección de datos de la empresa se encarga, entre otras cosas, de supervisar el cumplimiento de la normativa sobre protección de datos, asesorar a los empleados y cooperar con las autoridades de control.

P: ¿Cuándo se amenaza con multas en relación con el responsable de la protección de datos?

R: Se pueden imponer multas por infracciones del Reglamento General de Protección de Datos (RGPD), especialmente si no se ha designado un delegado de protección de datos o se han infringido las normas de protección de datos.

P: ¿Es obligatorio por ley nombrar un delegado de protección de datos?

R: Sí, en determinados casos la ley exige el nombramiento de un responsable de protección de datos para garantizar la protección de datos en una empresa.

P: ¿Qué operaciones de tratamiento de datos requieren el nombramiento de un delegado de protección de datos?

R: Los tipos especiales de tratamiento de datos, como los datos sanitarios o la información sobre condenas penales, pueden requerir el nombramiento de un delegado de protección de datos.

P: ¿Cuál es el cargo y las funciones de un delegado de protección de datos?

R: El responsable de protección de datos ocupa un puesto independiente dentro de la empresa y se encarga de supervisar la protección de datos, formar a los empleados y servir de enlace con las autoridades.

P: ¿Cuándo es obligatorio un delegado de protección de datos?

R: Según el RGPD, es necesario un delegado de protección de datos si en una empresa se tratan datos personales de forma regular y sistemática. Los criterios exactos para determinar cuándo es necesaria la designación de un delegado de protección de datos se establecen en la BDSG.

P: ¿Cuándo hay que nombrar a un delegado de protección de datos?

R: Una empresa debe nombrar a un delegado de protección de datos si el tratamiento de datos implica datos especialmente sensibles o si es necesario debido a la naturaleza, el alcance o los fines del tratamiento de datos.

P: ¿Cuáles son las funciones del delegado de protección de datos de la empresa?

R: El responsable de protección de datos de la empresa se encarga de supervisar el cumplimiento de la normativa sobre protección de datos, organizar cursos de formación dentro de la empresa, responder a las consultas de los interesados y actuar como punto de contacto con las autoridades de control.

P: ¿En qué casos es necesario nombrar un delegado de protección de datos?

R: Una empresa está obligada a nombrar a un responsable de la protección de datos si procesa de forma regular y sistemática datos personales o si así lo exige la ley.

P: ¿Qué multas pueden imponerse por infringir la normativa de protección de datos en relación con un delegado de protección de datos?

R: Las infracciones de la normativa de protección de datos pueden dar lugar a multas elevadas, especialmente si no se nombró a un responsable de protección de datos, aunque fuera necesario.

P: ¿Qué papel desempeña el RGPD en el nombramiento de un delegado de protección de datos?

R: El GDPR establece los requisitos para el nombramiento de un responsable de protección de datos y regula las responsabilidades y obligaciones en relación con la protección de datos personales.