Como recordaréis, el 25 de mayo de 2018 entró en vigor el nuevo Reglamento (UE) 2016/679 General de Protección de Datos (RGPD). En las fechas anteriores y posteriores a su entrada en vigor recibimos multitud de correos electrónicos pidiéndonos el consentimiento para seguir enviándonos newsletters comerciales.
A los 2 días salieron millones de empresas especializadas en protección de datos diciéndonos que también había entrado en vigor la figura del Delegado de Protección de Datos (DPD) y que era obligatorio que todos tuviéramos uno, puesto que de no tenerlo las sanciones serían de mírame y no te menees.
Existen ya millones de cursos de acreditación para ser DPD. Incluso hay quien emite carnés de DPD. Pero lo que hay de verdad es mucho aprovechamiento y mucho desconocimiento sobre el tema. No os asustéis ¿Es obligatorio tener un DPD en tu empresa? Como regla general, NO. El DPD sólo es obligatorio en algunos casos.
Lo primero es saber que el DPD debe designarse atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Además de lo anterior, el DPD debe tener total autonomía en el ejercicio de sus funciones en relación con la identidad a la que representa, debe tener la categoría de directivo o estar directamente relacionado con el nivel directivo, y el responsable o el encargado deben facilitarle todos los recursos necesarios para el desarrollo de su actividad. Esto quiere decir que el DPD debe ser alguien ajeno a la empresa (que no esté controlado por ella), o alguien que, estando vinculado no tiene dependencia, como un administrador o un consejero.
Es cierto que el RGPD establece que el DPD no es un derecho, sino una obligación. De hecho, el responsable del tratamiento de los datos personales (la empresa titular de los mismos), y el encargado del tratamiento (la persona física que trata realmente los datos), están obligados a designar un DPD siempre que el tratamiento de los datos:
- Lo realicen autoridades u organismos públicos (como pueden ser los Ayuntamientos, los gobiernos autonómicos, el gobierno nacional, etc.).
- Consista en que el responsable o el encargado realicen operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala (aquí está la madre del cordero, en la observación habitual y sistemática a gran escala).
- Consistan en el tratamiento a gran escala de categorías especiales de datos sensibles (Los datos sensibles son datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual).
Como regla general, las empresas online en las que trabajemos no serán organismos públicos ni tratarán datos sensibles. Así que debemos centrarnos en el segundo requisito: tratamiento habitual y sistemático a gran escala.
Sin embargo, el RGPD no explica qué debe entenderse por un tratamiento habitual y sistemático a gran escala. Pero la Agencia Española de Protección de Datos (AEPD) ha elaborado una Guía sobre Análisis de Riesgos en la que sí desarrolla la figura del DPD, al menos mucho más que hace el RGPD. Pues bien, al final de la guía, la AEPD establece un cuestionario que, en función de las respuestas que demos, no dará un indicativo sobre cuándo es obligatorio designar o no un DPD. Aquí os dejamos el enlace para que le echéis un vistazo.
Uno de los parámetros que utiliza esta guía es que sí parece claro que cuando una empresa trate datos personales de más de 100.000 personas al mes sí habrá que tener un DPD. Nunca por debajo de 10.000. Y si trato datos entre 10.000 y 100.000… pues depende. Depende del resto de parámetros que indica la guía. Recordemos que el tratamiento debe ser sistemático y habitual ¿Tratar 100.000 datos al mes de forma puntual porque organizas una carrera y la gente se apunta? Pues parece que aunque sea sistemático no es habitual.
¿Y si trato 40.000 datos todos los meses utilizando para ello un sistema digitalizado e implantado en mi empresa? Pues podría ser que sí, puesto que ya estamos en un tratamiento sistemático y podría ser habitual. Desde luego, sí sería habitual si lo hiciera todos los días.
Como vemos, el común de las empresas estaremos en el “no es necesario un DPD”, pero será la casuística y los principios establecidos en esta Guía la que nos marque la pauta a la hora de determinar si debemos tener un DPD en la empresa o no.
Antonio Fagundo Hermoso.
CEO de Masaltos.com.
Abogado.
Profesor de ESIC-ICEMD.
Profesor IE Cajasol.
Colaborador del Máster Universitario en Gestión Estratégica y Negocios Internacionales de la Universidad de Sevilla
Secretario de Foro Marketing Sevilla.
Twitter: @jovenantuan
Deja tu comentario