El DPO es, según la definición de la AEPD, "uno de los elementos claves del Reglamento General de Protección de Datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control".
Las funciones de esta figura son informar y asesorar a los empleados que deban realizar un tratamiento de datos de clientes, para que se realicen acorde al RGPD. Además, deberán supervisar el cumplimiento de lo dispuesto en el reglamento y cooperar con la autoridad de control (la AEPD). Básicamente, es un nexo entre las autoridades competentes y la empresa para que el tratamiento correcto de los datos sea una realidad.
El RGPD entró en vigor el 24 de mayo de 2016 pero no fue de aplicación obligatoria en todos los Estados miembros de la Unión Europea hasta el 25 de mayo de 2018. GlovoApp intentó evitar la multa al presentar un recurso de reposición, pero Protección de Datos, como comentamos anteriormente, ha refrendado la sanción de 25.000 euros.
Se trata de dos de las primeras multas que afectan a pymes en torno a la obligatoriedad de contar con la figura del Delegado de Protección de Datos, figura dedicada a mediar en torno al tratamiento de los mismos cuando las autoridades competentes, en este caso la AEPD, así lo requieran.
Nelia Álvarez, abogada del despacho CECA Magán, apunta que "en el caso concreto de la última sanción impuesta por la Agencia Española, de 50.000 euros, se tiene en cuenta como circunstancia agravante el alcance del tratamiento, concretamente el número de interesados afectados al entender la Agencia que la empresa realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene; así como las categorías de datos afectados, al tratarse de identificadores personales básicos".
Como hemos visto, no contar con un Delegado de Protección de Datos en las empresas o administraciones públicas obligadas a ello está tipificado como infracción grave dentro de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), con sanciones de miles de euros.
Desde Ecix Group, empresa dedicada a la gestión de riesgos jurídicos y empresariales, explican que "la norma concede un abanico de posibilidades en cuanto a la figura que puede ejercer las funciones de DPO, el nombramiento puede recaer en una persona interna de la organización o en un órgano colegiado, pero también puede externalizarse en una persona o entidad tercera mediante un contrato de servicios. Cada vez es más habitual que las empresas opten por la externalización de la figura del DPO en un tercero".
Desde Ecix concluyen que según dice el artículo 37 del Reglamento Europeo de Protección de datos, "en todo caso, las empresas habrán de asegurarse que la persona que vayan a designar como DPO reúne una serie de requisitos establecidos en la norma, como son un conocimiento especializado en la legislación y la práctica de protección de datos, experiencia acreditada en la materia y capacidad para cumplir con las tareas asignadas".
Básicamente, aquellos negocios con mayor relación o una exposición hacia el consumidor final (B2C) son los que tienen mayor riesgo de sufrir multas y sanciones por parte de la Autoridad de Control. Hoy en día, tanto en España como en el resto de Europa los sectores afectados por sanciones de mayor cuantía son: operadores de telecomunicaciones, empresas tecnológicas y entidades del sector financiero y asegurador.
"En Europa, el año pasado se sancionó a un gigante tecnológico en Francia con 50 millones de euros por violación de los principios de información y transparencia, así como por no obtener el debido consentimiento de los usuarios para el tratamiento de sus datos. Las sanciones derivadas de brechas de seguridad también han sido un foco de sanciones altas, sobre todo en Reino Unido", concluyen desde Ecix Group.
Por su parte Álvarez explica que "es recomendable que las empresas, independientemente de su tamaño, lleven a cabo un análisis interno que determine si debe nombrarse o no un Delegado de Protección de Datos, para determinar, en primer lugar, si se encuentran entre los supuestos contemplados en la ley que implicarían la obligación de designar un Delegado de Protección de Datos y, en segundo lugar, cuando no se encuentren en los supuestos de designación obligatoria contemplados en la ley, valorar su designación como medida de diligencia adicional y de responsabilidad proactiva".
Álvarez concluye que "el respeto de la privacidad no es sólo una cuestión de cumplimiento normativo, también genera valor para la empresa y confianza en los clientes. Por ello, es conveniente adoptar medidas adicionales de protección de forma voluntaria o proactiva que refuercen y muestren el compromiso de la empresa con la protección de la privacidad".
Funciones del delegado de protección de datos:
De acuerdo con el art. 39 del Reglamento Europeo de Protección de Datos, el delegado de protección de datos tendrá como mínimo las siguientes funciones:
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
En Queipo & Riego Abogados prestamos este servicio de Delegado de Protección de Datos para aquellas empresas obligadas o para las que sea conveniente adoptar esta medida en función de su operativa y los fines de su actividad