Crecen las sanciones a pymes de la AEDP por carecer de delegado de protección de datos, puesto que sin él, no se puede garantizar el cumplimiento de la normativa de la protección de datos en las organizaciones.
La empresa dedicada a la seguridad Conseguridad S.L. fue denunciada por UGT ante la AEPD, por tener un sistema de CCTV, donde graba las imágenes de todas las personas que entran y trabajan en las instalaciones. La empresa no tiene nombrado un Delegado de Protección de Datos y por lo tanto no se pueden ejercitar derechos, incumpliendo el Art.37 GDPR. En base a estos hechos probados la AEPD ha sancionado a Conseguridad S.L. con 50.000€.
.Por otro lado también la empresa Glovoapp23 S.L. ha sido sancionada por la AEPD por haber creado en la empresa la figura del Comité de Protección de Datos, sustiyendo, según ellos, al necesario delegado de protección de datos, cosa la cual, no se puede hacer de ninguna forma. Esta vez la AEPD ha impuesto a Glovoapp23 S.L. una sanción de 25.000€.
¿Pero, por que es necesario un delegado de protección de datos?
El delgado de protección de datos es quien hace de nexo o enlace entre empresa y trabajadores, y entre empresa y la AEPD, entre otras funciones, debe supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales.
También es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, velar o supervisar el cumplimiento normativo, cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de los datos.
¿Cómo se debe cumplir con esta obligación de tener un delegado de protección de datos?
Hay que destacar que no podemos designar a cualquier persona como delegado de protección de datos, antes debemos tener en cuenta su formación y su experiencia profesional. Debe tener conocimientos especializados del Derecho, experiencia práctica en materia de protección de datos y, además, la capacidad para desempeñar las funciones mínimas que le corresponden. A demás de este perfil, también es conveniente que tenga un perfil técnico, puesto que cada vez se usa más la tecnología y también herramientas que ayudan a cumplir con sus funciones.
El delegado de protección de datos puede ser una figura dentro de la empresa o puede ser externo a la empresa y subcontratado por esta.
Por ultimo indicar que el delegado de protección de datos debe, aun que no es obligatorio, certificarse mediante el Esquema de Certificación de Delegados de Protección de Datos para poder dar un servicio al más alto nivel.
¿Qué organizaciones necesitan tener un delegado de protección de datos?
Según el Reglamento y la ley LOPD, será obligatorio tener un Delegado de Protección de Datos (DPO) en las siguientes organizaciones:
· En autoridades y organismos públicos.
· Cuando se realice el tratamiento a gran escala de datos sensibles.
· En colegios profesionales y sus consejos generales.
· En centros docentes que ofrecen enseñanza y en las universidades públicas y privadas.
· Las empresas que prestan servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
· Las entidades de ordenanza, supervisión y solvencia de entidades de crédito.
· Los establecimientos financieros de crédito.
· Las entidades aseguradoras y reaseguradoras.
· Las empresas de servicios de inversión.
· Los centros sanitarios legalmente obligados a guardar historiales clínicos de los pacientes.
· Las entidades que tengan como uno de sus objetivos la emisión de informes comerciales que puedan referirse a personas físicas.
· Las operadoras que desarrollen la actividad del juego mediante los canales electrónicos, informáticos, telemáticos o interactivos.
· Quien desarrolle actividades de seguridad privada.
· Los distribuidores y comercializadores de energía eléctrica y gas natural.
· Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y de crédito o de los ficheros comunes para la gestión y prevención del fraude, incluidos los responsables de los ficheros de prevención de blanqueo de capital y de la financiación del terrorismo.
· Las entidades que desarrollen actividades de publicidad y prospección comercial, las de investigación comercial y de mercados, cuando se lleven a cabo tratamientos basados en las preferencias de los afectados o se realicen actividades que impliquen la elaboración de perfiles de estos.
Es importante indicar que las organizaciones que no estén obligadas a tener un DPO, no las exime de cumplir con la responsabilidad de realizar un correcto tratamiento de los datos, a demás de que pueden contratar un DPO externo para dar un alto nivel de protección.