La ley obligará a las empresas de más de 50 empleados a tener un delegado de protección de datos
El Anteproyecto de ley (whistleblowing), amplía los supuestos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) en los que es necesario nombrar a un Delegado de Protección de Datos.
¿Qué es el delegado de protección de datos y cuáles son sus funciones?
El Reglamento general de protección de datos (RGPD) regula la figura del Delegado de Protección de Datos (DPD) en los artículos 37 a 39.
El DPD es la persona clave en una organización que tiene como objetivo velar por el cumplimiento de lo establecido por la normativa en materia de privacidad y protección de datos.
En este sentido, y de acuerdo con lo establecido en el RGPD, a priori, será obligatorio contactar con un DPD en los siguientes supuestos:
- Cuando el tratamiento lo lleve a cabo una autoridad y organismo público.
- Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
La ley «Whistleblowing» obligará a tener un DPD a empresas con más de 50 trabajadores
Conforme a lo indicado anteriormente, la normativa de aplicación no establece en ningún caso que las empresas con mas de 50 trabajadores estén obligados a contar con un DPD en su empresa.
No obstante, y con la entrada en vigor de la reciente Directiva Whistleblowing, las empresas que empleen a 50 personas o más tienen la obligación de disponer de un canal de denuncias.
En consecuencia, el artículo 34 del Anteproyecto de ley establece que las empresas que estén obligadas a disponer de un canal de denuncias así como los terceros externos que lo gestionen, deben nombrar un Delegado de Protección de Datos.
Nombramiento del delegado de protección de datos
El DPD debe ser nombrado teniendo en cuenta sus cualificaciones profesionales y en particular, su conocimiento de la legislación en materia de protección de datos.
En la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en la relativo a la normativa sobre protección de datos, los conocimientos jurídicos de la materia serán necesarios, como también será necesario contar con los conocimientos ajenos a lo estrictamente jurídico, por ejemplo en materia de tecnología aplicada al tratamiento de datos, aunque no debe tener una formación específica.
La designación del DPD y sus datos de contacto deben hacerse públicos y comunicarse al organismo competente por los responsables y encargados.
Los requisitos establecidos que un DPD debería cumplir son los siguientes:
- Autonomía total en el ejercicio de sus funciones.
- Estrecho contacto con el nivel superior de la organización.
- El responsable y el encargado están obligados a facilitarle al DPD todos los recursos necesarios para desarrollar su actividad.
Está permitido nombrar un solo DPD para un grupo empresarial siempre que sea accesible desde cada establecimiento del grupo. Entendiendo accesibilidad en un sentido amplio, incluyendo la accesibilidad física para el propio personal del grupo y también la posibilidad de que los interesados contacten con el DPD en su lengua, cuando el DPD esté adscrito en un establecimiento de otro estado miembro.
La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta para evaluar que los candidatos que ocupen puestos de DPD reúnen los conocimientos y cualificaciones profesionales requeridas.
No obstante, la certificación no será un requisito indispensable para el acceso a la profesión.
¿Qué plazo tienen las empresas para cumplir con esta obligación ?
Principalmente habrá que acudir tanto al RGPD, como a la LOPDGDD y a la Directiva Whistleblowing para verificar si efectivamente una empresa debe contar con un DPD.
En este sentido, en caso de la empresa emplee a menos de 50 trabajadores, debemos comprobar si no nos encontramos ante alguno de los supuestos genéricos del RGPD y de los supuestos específicos de LOPDGDD mencionados de forma resumida anteriormente.
Si necesitas un DPD, en Letslaw somos expertos en privacidad y protección de datos. ¡Contacta con nosotros!
Paula Ferrándiz es abogada especialista en Propiedad Intelectual e Industrial, Nuevas Tecnologías y Derecho de la Competencia.
Apasionada del sector digital y las redes sociales presta asesoramiento legal a todo tipo de clientes tanto nacionales como internacionales en materia de protección de datos, comercio electrónico, publicidad y marketing digital entre otras
Artículos Relacionados
Data protection officer (DPO) ¿Qué hace y por qué debes conocerlo?
Servicio DPO interno / servicio DPO externo: ¿Cuál es la mejor opción?
Delegado de Protección de Datos, ¿lo necesitas?
Cláusulas de salida del inversor
Consideraciones de los contratos Build to rent
Seminario:»¿Está tu empresa adaptada a la directiva Whistleblowing? Claves legales y obligaciones para las empresas»