¿Cuándo es obligatorio un delegado de protección de datos?

En casi todas las empresas se tratan datos personales. Se aplican obligaciones especiales a la hora de tratarlos y, en algunos casos, el nombramiento de un responsable de la protección de datos también forma parte de ello. Pero, ¿cuándo es obligatorio un delegado de protección de datos? ¿Qué opciones existen para cumplir dicha obligación?

Obligación de designar un responsable de la protección de datos

El artículo 37 del RGPD y el artículo 38 de la BDSG imponen al responsable del tratamiento la obligación de nombrar a un delegado de protección de datos en determinados casos. Si se cumplen los requisitos establecidos en la ley, es obligatorio nombrar a un responsable de la protección de datos. Todos los demás responsables del tratamiento son libres de nombrar a un delegado de protección de datos.

Requisitos

El RGPD exige que el responsable del tratamiento designe a un delegado de protección de datos,

• si el tratamiento lo lleva a cabo una autoridad u organismo público (no se incluyen los tribunales en el contexto de sus actividades judiciales) o
• cuando la actividad principal implique operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran un control a gran escala de forma periódica y sistemática o
• si se tratan datos de categoría especial con arreglo al artículo 9 del RGPD o datos sobre condenas e infracciones penales (artículo 10 del RGPD) como parte de la actividad principal.

Así pues, el RGPD establece un marco bastante estrecho en el que el nombramiento de un delegado de protección de datos es realmente obligatorio. El objetivo es abarcar los ámbitos en los que se tratan datos personales especialmente sensibles o especialmente extensos.

Sin embargo, la BDSG amplía estos requisitos, de modo que el ámbito de aplicación de la obligación no es tan reducido después de todo. Según el artículo 38 de la BDSG, la designación también es obligatoria en Alemania,

• si, por regla general, al menos 20 personas trabajan permanentemente en el tratamiento automatizado de datos personales o independientemente del número de personas que se dediquen a la transformación
• si se llevan a cabo operaciones de tratamiento sujetas a una evaluación de impacto sobre la protección de datos de conformidad con el artículo 35 de la DSGVO o
• si los datos personales se tratan sobre una base comercial con fines de transmisión, transmisión anonimizada o con fines de estudios de mercado o de opinión.

Sin embargo, el umbral de 20 personas empleadas no es tan claro como parece a primera vista:

El umbral de 20 personas debe alcanzarse "por regla general". Esto significa que se considera el número de personas empleadas en el tratamiento automatizado de datos personales durante un periodo de un año, o el número que se empleará en el contexto de una previsión.

Las personas también deben estar empleadas "de forma continua", lo que significa que la tarea es realizada por estas personas de forma regular. No es necesario que el tratamiento de datos personales sea la tarea principal o el núcleo de la actividad de la persona. Basta con que el tratamiento de los datos personales tenga lugar en el contexto de la actividad específica. Basta con que la persona esté conectada a un sistema de comunicación como Outlook o tenga acceso a los directorios de direcciones propios de la empresa. Al examinar si se ha superado el valor umbral, se incluye a los empleados que no tienen más competencias que la visualización de datos personales.

Esto significa que algunas empresas en Alemania están sujetas a la obligación de nombrar un responsable de la protección de datos que puede que ni siquiera lo sepan. La no designación de un delegado de protección de datos se considera ahora una infracción formal media, que suele costar entre 20.000 y 30.000 euros (dependiendo del volumen de negocio) en multas.

¿Oficial de protección de datos interno o externo?

Las empresas no sólo podrían nombrar a un empleado como responsable de la protección de datos, además de su trabajo normal en la empresa, sino también designar a una persona externa para esta tarea.

Si se elige a un empleado interno, tendrá que recibir mucha formación. Además, tienen que recibir formación periódicamente y, por tanto, incurren en costes adicionales con menos mano de obra para las tareas reales. Debido a este esfuerzo, el puesto suele ser muy impopular entre los empleados. Además, a menudo es difícil para el personal interno mantener una visión de conjunto de toda la empresa y así poder desempeñar sus funciones con eficacia. Un empleado interno debe ser imparcial y no puede controlarse a sí mismo; los empleados de TI o los empleados con responsabilidad de personal o de división, así como todos los empleados en puestos de dirección y los empleados con órganos corporativos ya están excluidos de esto.

Si, por el contrario, opta por un consultor externo, podrá confiar en su experiencia certificada y no tendrá que preocuparse por la formación continua. Además, los honorarios fijos facilitan calcular los costes adicionales y mantenerlos dentro de unos límites razonables. El responsable externo de la protección de datos suele tener una mejor visión de conjunto y mantiene la neutralidad.

Sin embargo, cuál es la mejor alternativa para una empresa debe decidirse caso por caso.

¿Son necesarios varios responsables de protección de datos?

En principio, es posible nombrar un responsable común de la protección de datos para varios organismos que estén bajo la misma dirección.

De conformidad con el artículo 37 II, las empresas pueden designar a un responsable de la protección de datos conjunto del grupo. Encontrará más información al respecto aquí.

Según el Art. 37 III, lo mismo se aplica a las autoridades y organismos públicos si ello es posible de acuerdo con la estructura organizativa.