El pasado 4 de marzo, el Consejo de Ministros aprobó un Anteproyecto de Ley para la transposición de la Directiva (UE) 2019/1937, Whistleblowing, aprobada en 2019.

El Anteproyecto se encuentra en fase parlamentaria, por lo que está sujeto a enmiendas de los Grupos Parlamentarios.

En este sentido, es importante tener en cuenta que el contenido de la futura ley que se apruebe puede diferir del Anteproyecto, no obstante, el tema genera tanta expectación que os adelantamos el contenido del Anteproyecto para vuestra información.

La Ley protegerá a las personas físicas que informen de:

• Infracciones del Derecho de la Unión Europea tasadas en la Directiva, que afecten a los intereses financieros de la Unión o incidan en el mercado interior, así como las infracciones que infrinjan las normas de los impuestos
• Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave o cualquier vulneración del resto del ordenamiento jurídico español

¿A qué entidades va a afectar?

En el ámbito privado las personas físicas o jurídicas del sector privado que tengan contratados 50 o más trabajadores.

Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente y

Los partidos políticos, los sindicatos, las patronales y las fundaciones, siempre que reciban o gestionen fondos públicos.

El Anteproyecto regula el régimen jurídico de los sistemas internos de información con el que deben contar todas las entidades mencionadas.

Como requisitos para configurar estos sistemas están: uso asequible, garantías de confidencialidad, prácticas correctas de seguimiento, investigación y protección del informante, así como la designación de un responsable de su correcto funcionamiento

Habrá medidas de protección al informante y con la transposición de la directiva Whistleblower la lista de obligados para tener un Delegado de Protección de datos se amplía quedando también obligadas al nombramiento de un DPD todas aquellas entidades obligadas a disponer de un canal de denuncias interno y las entidades externas que se encargan de su gestión.

NC Consultors es una entidad certificada y ofrece los servicios profesionales de un DPD de forma externalizada, por todo ello puede asesoraros y ofreceros aquellos conocimientos necesarios en la materia.

Nina Costas
Abogada
NC Consultors

La entrada Anteproyecto de Ley que regula la protección de las personas que informen sobre infracciones normativas y lucha contra la corrupción aparece primero en .

A la entrada en vigor la nueva normativa de protección de datos, concretamente el Reglamento General  de Protección de Datos, y la Ley Orgánica de protección de Datos y garantía de derechos digitales, uno de los aspectos de gran importancia que se debía tener en cuenta era la firma de los contratos de Encargado de Tratamiento. La norma indicaba que los contratos suscritos antes del 25 de mayo de 2018 siguiendo con lo indicado en el artículo 12 de la LOPD, serían vigentes hasta la fecha señalada en los mismos o, en caso de ser indefinidos, hasta el 25 de mayo de 2022.

Esta fecha está cada vez más cerca y para a cumplir con la normativa, en las siguientes líneas veremos cuándo se quién es encargado de tratamiento y por lo tanto debe firmar el contrato, que aspectos debe regular este contrato y qué pasa con el Encargado del tratamiento cuando está ubicado fuera de la UE.

¿Quién es la figura del Encargado de Tratamiento?

Para su elección se comprobará que ofrece suficientes garantías de cumplimiento de la normativa actual.

Para ayudar a diferenciar la figura del Responsable y del Encargado, se debe tener en cuenta que el primero es quién decide sobre la finalidad del tratamiento de la información y el segundo sigue sus instrucciones para realizar el tratamiento.

Como ejemplos de Encargados de Tratamiento tenemos las empresas que prestan el servicio de videovigilancia, las gestorías fiscales, laborales y contables, las empresas de mantenimiento informático de software, etc.

Debemos mencionar, determinados casos en que, a priori parecen encargados del tratamiento, pero la propia AEPD se ha pronunciado al respecto indicando que no son ET: son los casos de los auditores contables y las empresas de transporte y mensajería no son Encargados de Tratamiento, son responsables. En el caso de los auditores contables se fundamenta en que estos actúan como una figura autónoma y no reciben instrucciones de quién los contrata. En el caso de las empresas de mensajería se fundamenta en que los datos que se facilitan a la empresa se incorporan a su base de datos para realizar la entrega al destinatario.

 ¿Qué contenido debe tener el contrato de Encargado de Tratamiento?

La relación entre Responsable y Encargado se establecerá por un contrato donde debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales tratados y las categorías de interesados y las obligaciones y derechos del responsable.

El Encargado no podrá subcontratar el servicio a un tercero sin la autorización previa del responsable, que éste deberá ser avisado por si se quiere oponer. En caso de proceder con la subcontratación, esta empresa deberá tener un contrato o acto jurídico vinculante con las mismas obligaciones que las estipuladas entre el Responsable y el Encargado. En caso de incumplimiento por parte del subcontratado, el Encargado será quién responderá.

¿Qué pasa con los Encargado de Tratamiento fuera de la UE?

En el caso de encontrarnos con una comunicación de datos personales fuera de la UE se debe seguir garantizando el nivel de protección que establece el Reglamento. Para hacerlo nos podemos encontrar con las siguientes situaciones:

• Transferencia basada en una decisión de adecuación de la comisión.
• Normas corporativas vinculantes.
• Aportación de las garantías adecuadas.
• Excepciones para situaciones específicas.
• Autorización expresa de la AEPD.

En este punto debemos mencionar el caso de EEUU, con quién hasta julio de 2020 se realizaban las transferencias internacionales de datos en base al “Privacy Shield” hasta que este fue invalidado. Desde ese momento no había habido otros acuerdos, hasta ahora, que han llegado a un acuerdo para hacer una regulación que permita cumplir con los estándares de privacidad recogidos en la normativa europea de protección de datos.

Por todo ello,

El plazo para firmar los contratos con los Encargados de Tratamiento llega a su fin, por lo que debéis comprobar si tenéis o no los contratos firmados, con base en el RGPD. Deberéis corroborar con todos vuestros encargados la firma de este tipo de contratos.

Nina Costas

Pymelegal & NC consultors

La entrada Fecha límite para la firma de los contratos de encargados de tratamiento aparece primero en .

El Reglamento e-Privacy (oficialmente el Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas) será la normativa europea que sustituirá a la Directiva (UE) 2002/58 de Privacidad y Comunicaciones Electrónicas vigente en Europa, y que en España fue transpuesta por la Ley de los Servicios de la Sociedad de la Información y del Comercio Electrónico 34/2002 (la LSSI).

Junto al RGPD, será una de las normativas básicas europeas que regularán la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, reforzando la privacidad de los ciudadanos y empresas en internet y demás canales de comunicación digitales.

Aún no está aprobado, sino que está en fase de borrador y ha sido objeto de muchísimas modificaciones. Hasta su final aprobación y aplicación aún puede sufrir múltiples variaciones.

Este Reglamento será de aplicación directa en todos los Estados Miembros (igual que el RGPD), y tendrá el carácter de “lex especialis” (ley especial) frente al carácter de “lex generalis” (ley general) que tiene el RGPD, es decir, si hubiera conflicto de aplicación entre este Reglamento y el RGPD, se aplicaría de forma preferente el Reglamento e-Privacy, pues tiene prioridad la ley especial frente a la ley general.

¿A quién protegerá el Reglamento e-Privacy?

A diferencia del RGPD que solamente protege a las personas físicas, este Reglamento protegerá tanto a usuarios particulares como a empresas; las comunicaciones electrónicas pueden contener información muy privada (como información de salud, por ejemplo), pero también pueden contener información confidencial de alto valor económico o revelar secretos comerciales, y es por ello que las empresas son merecedoras, a través de esta normativa, de protección.

Estas actividades serán protegidas independientemente para todos aquellos usuarios localizados en la UE o cuya información pertenezca a usuarios europeos.

¿Qué regulará este Reglamento?

El Reglamento e-Privacy está íntimamente ligado con el RGPD, pues ambos regulan un mismo elemento: la privacidad.

• Por un lado, uno la regula en su sentido más amplio (el RGPD)
• Por el otro, regula las comunicaciones mediante internet y otros canales de comunicación digitales.
  • Este Reglamento también regulará:
    • El uso que se realice de la información obtenida sobre los equipos o terminales de los usuarios de estos servicios y los metadatos referidos a los usuarios finales que se encuentren en la UE.
    • La restricción de la identificación de las llamadas, bloqueo de llamadas entrantes no deseadas por parte de los usuarios, etc.
    • Y la posibilidad de que el consentimiento se obtenga a través del navegador, solicitando al usuario una configuración determinada en el momento de su instalación y modificable en cualquier momento.

¿Cuáles son las novedades que aporta este nuevo Reglamento?

Este Reglamento va a aportar varias novedades, entre ellas, las relativas al consentimiento prestado hasta ahora en las comunicaciones electrónicas, cookies y control sobre comunicaciones electrónicas y llamadas comerciales.

• En cuanto al consentimiento:

  • Será de aplicación lo dispuesto en el RGPD, y esta vez también a las empresas, es decir, la recogida del consentimiento deberá ser expreso, libre, informado e inequívoco.
  • Se dará prevalencia al consentimiento expresado directamente por el usuario sobre el que se preste utilizando los ajustes de los navegadores. También deberemos tener en cuenta que a los usuarios que hayan consentido el tratamiento de datos de comunicaciones electrónicas (newsletter, por ejemplo), se les tendrá que recordar periódicamente la posibilidad de retirar el consentimiento prestado, debiendo hacerlo como mínimo una vez cada doce meses.
  • Debemos tener en cuenta que los datos deberán tratarse durante el plazo para el cumplimiento de la finalidad, y en caso que deban tratarse durante más tiempo, deberán anonimizarse.
  • De momento, deja a los Estados Miembros que decidan durante cuánto tiempo un usuario se considera “cliente” para el envío de las comunicaciones comerciales.

• Por lo que respecta a los metadatos, se permitirá realizar el tratamiento de estos en las comunicaciones electrónicas, en los siguientes casos:

  • Por ser necesarios para la gestión u optimización de la red o cumplir los requisitos técnicos de calidad del servicio.
  • Para la ejecución de un contrato de servicios de comunicaciones electrónicas (caso de ser necesarios para la facturación, calcular los pagos de interconexión, detectar o cesar por el uso fraudulento o abusivo de los servicios de comunicaciones electrónicas o la suscripción a los mismos).
  • Si se ha dado el consentimiento para tal fin.
  • Para la protección de intereses vitales.
  • O si se cumplen determinados requisitos, respecto a los metadatos de localización necesarios para fines de investigación científica, histórica o con fines estadísticos.
  • Los metadatos que se traten y sean compatibles en las comunicaciones electrónicas, cuando su tratamiento sea para un fin distinto a aquel para el que fueron recogidos inicialmente, y su tratamiento no haya sido basado en el consentimiento del usuario, se requerirá al prestador que analice si el tratamiento de los datos para este nuevo fin es compatible con el inicialmente escogido (incluso, en determinados casos, será necesaria la realización de una Evaluación de Impacto) y si lo fuera, solamente podrá llevarse a cabo con datos anonimizados.

• Y en lo que respecta a las cookies, se mantiene la prohibición de tratar dicha información, con las siguientes excepciones, que:

  • El usuario haya consentido el tratamiento (el supuesto más habitual).
  • El tratamiento se realice para prestar el servicio de comunicaciones electrónicas.
  • Sea:
    • estrictamente necesario para prestar un servicio requerido por el usuario.
    • necesario para la medición de audiencias.
    • necesario para finalidades de seguridad, prevención de fraudes o detectar fallos técnicos.
  • En el caso de que se requiera, para una actualización de software.
  • Para localizar el terminal del usuario final en una llamada de emergencia.

De igual modo que hemos visto en el consentimiento o los metadatos, si la información recogida se fuese a utilizar con una finalidad distinta a la inicialmente prevista, el prestador deberá analizar la compatibilidad de estas finalidades.

Y el tratamiento únicamente será acorde si la información es borrada o anonimizada cuando ya no sea necesaria.

• Otra de las novedades más importantes, es la relativa al control de los usuarios sobre las comunicaciones electrónicas y llamadas comerciales no solicitadas.

En cuanto a las llamadas comerciales no solicitadas, el reglamento dejará en manos de los Estados Miembros el desarrollo de reglas relativas a las obligaciones de los operadores (como podría ser la identificación).

Un punto importante es el relativo a las comunicaciones comerciales y no solicitadas. Como norma general, únicamente se podrán enviar si el destinatario ha dado su consentimiento para ello.

Ahora bien, se seguirá teniendo en cuenta el interés legítimo para su envío siempre y cuando se dé la posibilidad de oponerse al envío de las mismas.

Además, también se establece que las comunicaciones deberán identificar al remitente, y usar una dirección a la cual se la pueda responder, por lo que las direcciones que empiecen por “noreply@…” dejarán de ser válidas.

¿Qué sanciones prevé?

En cuanto a las sanciones que fija este Reglamento, se asimilan a las del RGPD: el usuario que haya visto sus derechos vulnerados tendrá derecho a recibir una compensación económica.

Y, además, las sumas de las sanciones podrán llegar hasta los 10 millones de € o 20 millones de euros o un 2 % o 4 % de los beneficios obtenidos por la sociedad.

Y, ¿cuándo entra en vigor y será aplicable?

Se habla del Reglamento e-Privacy desde 2016, habiendo un primer proyecto ya en 2017 y la idea de la Unión Europea era aprobarlo al mismo tiempo que el Reglamento General de Protección de Datos, pero este objetivo no llegó a cumplirse y, a día de hoy, aun no hay una decisión vinculante sobre su aprobación.

Los Estados Miembros de la UE no consiguen ponerse de acuerdo.

En lo que sí parece que hay cuórum es que, una vez esté publicado, se dará una moratoria de 2 años a las empresas para que puedan adaptarse a la nueva regulación y sea plenamente eficaz.

Conclusión

Por lo que hemos visto, este será un Reglamento que pivotará sobre la base de la privacidad por defecto, como defiende el RGPD, protegiendo a los usuarios tanto particulares como empresas.

Sin embargo, añadirá unos cuantos quebraderos de cabeza a los departamentos de marketing y gestores de páginas web pues se regularán una serie de obligaciones mucho más restrictivas que las hasta ahora conocidas.

Algunos sectores incluso temen que los cambios realizados en los modelos de negocio para el RGPD vayan a tener que modificarse por la llegada de este Reglamento.

Seguiremos de cerca todos los avances que se vayan produciendo en cuanto a esta regulación y os seguiremos informando. Si tenéis cualquier aclaración o consulta, no dudéis en contactar con nosotros; ¡estamos a vuestra disposición!

Para más información, estamos a tu disposición.
Haznos tu consulta AQUÍ.

El Equipo de NC CONSULTORS

La entrada El Reglamento e-Privacy aparece primero en .

A partir del 1 de enero, el Reino Unido ya no está obligado a cumplir con la legislación de la UE y ya no tiene acceso al mercado interior ni a la Unión Aduanera. La libre circulación de personas ha dejado de ser aplicable entre la UE y el Reino Unido.

Acuerdo comercial entre UE y UK

Sin embargo, el pasado 24 de diciembre de 2020, la Unión Europea y el Reino Unido acordaron un borrador de acuerdo comercial y de cooperación donde se determinan las reglas aplicables a las relaciones entre la UE y UK, en una serie de áreas, entre ellas comercio, transporte, coordinación de la seguridad social, cooperación policial y judicial, etc.

¿Y cómo afecta el BREXIT a la protección de datos? En esta materia se ha establecido una moratoria de 6 meses para que, durante este periodo hasta el 1 de julio de 2021, puedan seguir aplicándose las disposiciones del Reglamento General de Protección de Datos (RGPD).

¿Y qué pasará el 1 de julio de 2021?

Una vez haya finalizado este plazo máximo de 6 meses, todos los flujos transfronterizos de datos personales que se realicen al Reino Unido, y a menos que una decisión de la Comisión Europea reconozca a UK como país que garantiza un nivel adecuado de protección, deberán supervisarse pues estaremos ante una transferencia internacional de datos, y deberá realizarse mediante la aplicación de alguno de los siguientes instrumentos previstos por el RGPD para transferencias a terceros países:

• Cláusulas contractuales tipo o ad hoc

A falta de una decisión de adecuación, estos contratos ofrecen las garantías adicionales idóneas que se necesitan para la realización de transferencias de datos a un tercer país. Actualmente, existen entre responsables dentro del EEE (Espacio Económico Europeo), a un responsable en un tercer país y entre responsables dentro del EEE y un encargado del tratamiento ubicado en un tercer país.

Estos contratos no pueden modificarse y deben firmarse tal como se entregan.

Pueden incluirse dentro un contrato más amplio y se pueden añadir cláusulas adicionales siempre y cuando no contradigan, directa o indirectamente, las cláusulas tipo de protección de datos adoptadas por la Comisión.

Cualquier modificación añadida a las cláusulas tipo de protección de datos supondrá que se considerarán cláusulas contractuales ad hoc.

Antes de efectuar cualquier transferencia, la autoridad de control nacional competente debe autorizar estas cláusulas contractuales adaptadas, previo dictamen del Comité Europeo de Protección de Datos (CEPD).

• Normas Corporativas Vinculantes

Las NCV (o Binding Corporate Rules -BCR-) son políticas de protección de datos a las que se adhiere un grupo de empresas (es decir, multinacionales) para proporcionar garantías idóneas para las transferencias de datos personales dentro del grupo, incluidas aquellas a países no pertenecientes al EEE. En el caso de que las NCV no estén en vigor, la autoridad de control nacional competente debe aprobarlas, previo dictamen del CEPD.

• Adhesión a códigos de conducta y/o mecanismos de certificación

Estas herramientas son nuevas en virtud del RGPD. Los códigos de conducta y/o mecanismos de certificación pueden ofrecer garantías adecuadas para las transferencias de datos personales si incluyen compromisos vinculantes y aplicables por parte de la organización en el país tercero en beneficio de los particulares. El CEPD está elaborando guías para ofrecer más información acerca de las condiciones armonizadas y el procedimiento necesario para utilizar estas herramientas.

• Aplicación de excepciones

Solo podrán utilizarse si no existen cláusulas tipo u otras garantías alternativas adecuadas. Deben interpretarse de forma restrictiva y hacen referencia principalmente a actividades de tratamiento ocasionales y no repetitivas.

Entre dichas excepciones se encuentran el consentimiento explícito del interesado, habiendo sido informado previamente de los posibles riesgos de las transferencias, cuando la transferencia es necesaria para la celebración o ejecución de un contrato, en interés del interesado, cuando es necesaria por razones importantes de interés público o es necesaria en virtud de intereses legítimos imperiosos de la entidad, entre otras (art. 49 RGPD).

Y todo ello siempre con la condición de que se reconozca a los europeos derechos exigibles y recursos efectivos, tal y como establece el art. 46 RGPD.

¿Qué medidas deben adoptar las organizaciones respecto la protección de datos ante el BREXIT?

Las empresas y organizaciones deberán seguir estos pasos cuando transfieran datos al Reino Unido:

• Identificar qué actividades de tratamiento implicarán la transferencia de datos personales al Reino Unido.
• Determinar el instrumento de transferencia de datos adecuado para su situación.
• Aplicar el instrumento de transferencia de datos elegido.
• Indicar en su documentación interna que se efectuarán transferencias al Reino Unido.
• Actualizar sus políticas de privacidad para informar a los particulares.

Por otro lado, la «ventanilla única» ha dejado de ser aplicable en el Reino Unido.

¿Qué repercusiones tiene el no disponer de la ‘ventanilla única’ en materia de protección de datos ante el BREXIT?

Con la ventanilla única los responsables del tratamiento ubicados en el EEE pueden apoyarse en una autoridad principal, la cual es su interlocutora y con la que deben cumplir las distintas obligaciones previstas en el RGPD; de esta forma se armonizan las decisiones relativas al tratamiento transfronterizo facilitando los trámites para las empresas en la UE.

Con base al acuerdo de cooperación entre la UE y el Reino Unido, la ventanilla única desaparece, y los responsables y encargados de datos establecidos en el Reino Unido y cuyo tratamiento de datos se sujeta al RGPD, a partir del 1 de enero de 2021 deben nombrar a un representante en la Unión, de conformidad con el art. 27 RGPD.

Este representante puede ser contactado por las autoridades supervisoras y los interesados ​​sobre cualquier asunto relacionado con el tratamiento de datos personales para garantizar el cumplimiento del RGPD.

En ausencia de un establecimiento principal en el territorio del Espacio Económico Europeo (EEE), los responsables o encargados del tratamiento no pueden beneficiarse del mecanismo de ventanilla única. Los responsables o los encargados del tratamiento solo pueden beneficiarse de la ventanilla única siempre que tengan un establecimiento, oficinas de representación, filiales o cualquier otro establecimiento con sede física y personal capacitado establecido en el EEE. Si no, no podrán.

Conclusión sobre BREXIT y protección de datos

Lo más probable es que la Comisión Europea adopte una “decisión de adecuación” a través de la que se reconozca que la normativa de protección de datos de UK (el Data Protection Act 2018) ofrece un nivel de protección equivalente al que proporciona el RGPD, pues ambas normativas se asemejan en el enfoque sobre la protección de datos: se basan en una correcta gestión del riesgo, asegurando un flujo seguro de información en el mercado.

En el caso de que finalmente se declare a UK como país adecuado mediante una decisión de la Comisión, el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito, como se venía realizando hasta ahora. Tendremos que esperar hasta el 1 de julio. Os iremos manteniendo informados.

Para más información, estamos a tu disposición. Haznos tu consulta AQUÍ.

NC CONSULTORS

Nina Costas

Abogada

La entrada BREXIT y Protección de Datos aparece primero en .

¿Nos pueden sancionar por no tener un Delegado de Protección de Datos? La respuesta es: SÍ. En estos últimos meses hemos visto como la AEPD ha emitido sus primeras resoluciones al respecto que queremos comentar hoy en nuestro post.

La primera sanción relacionada con la falta de designación de un DPD corresponde a Glovo. Como ya sabemos, Glovo es una empresa privada dedicada a la entrega de comida a domicilio y/o paquetes, tanto a empresas como a particulares. A priori, no parece que cumpla con ninguna de la casuística indicada en el art. 34 de la LOPDGDD para nombrar un DPD, más la AEPD, establece un criterio que crea un precedente muy importante: según la AEPD, GLOVO sí que realiza un tratamiento a gran escala de datos y por ello, debe nombrar un DPD.

¿Por qué GLOVO debe nombrar un DPD según criterio de la AEPD?

Durante la tramitación de este expediente, GLOVO argumentó que, por su actividad, no estaba obligada al nombramiento de un DPD por no encontrarse dentro de los supuestos de los artículos 37 RGPD y 34 LOPGDD. Sin embargo, la Autoridad de Control ha fundamentado que realiza un tratamiento a gran escala, según el art. 37.1.b) en el sentido siguiente: el concepto de “tratamiento de datos a gran escala” conllevaque se tengan en cuenta los siguientes factores:

• el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
• el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
• la duración o permanencia de la actividad de tratamiento de datos y
• el alcance geográfico de la actividad de tratamiento.

Y Glovo, debido a su actividad, puede llegar a tratar datos de ámbito geográfico tanto a nivel regional como nacional, lo que conlleva que puede acceder a un elevado número de interesados a gran escala.

Es por todo ello que la AEPD ha sancionado a GLOVO con 25.000 €, en virtud del art. 73.v) LOPDGDD, como sanción grave. Y ha tenido suerte, pues una infracción de este tipo podría haber llegado a una multa administrativa de hasta 10.000.000 € o el 2 % de la facturación global del año anterior.

La segunda de las resoluciones que vamos a comentar es la de un ente público, en particular, el Ayuntamiento de Huercal (Almería).

¿Por qué el Ayuntamiento debe nombrar un DPD?

El RGPD lo dice claramente: se deberá designar un Delegado de Protección de Datos cuando el tratamiento lo lleve a cabo una autoridad u organismo público (art. 37.1.a).

En este caso, la sanción impuesta no ha sido económica, sino que ha sido un apercibimiento (figura regulada en el art. 77.2 de la LOPDGDD) donde la propia AEPD indica al órgano infractor la medida o medidas que debe adoptar para el cese de la conducta transgresora. En el fallo de esta resolución, la medida a aplicar ha sido el nombramiento de un DPD.

No olvidemos que países como Bélgica, Alemania y Austria también han sancionado a diversas entidades por el mismo incumplimiento (no nombrar un DPD). Además, en Europa, también se han penalizado otros hechos relacionados con esta figura, como por ejemplo, la limitación de las funciones del DPD a la hora de gestionar las brechas de seguridad, la existencia de conflicto de intereses por el nombramiento como DPD del responsable de compliance y auditoría interna, así como la sanción de 51.000 € a Facebook Germany GmbH por, pese haber nombrado un DPD para todas las empresas del grupo ubicadas en la Unión Europea, no notificó tal designación a la autoridad de control competente.

En el caso español, las dos sanciones comentadas son la semilla para que las organizaciones que estén obligadas a tener DPD por la normativa, dispongan de dicha figura.

En nuestro artículo “Cuándo se debe nombrar un DPD”,os indicamos los casos en que las entidades están obligadas a nombrar un DPD. Asimismo, es interesante recordar que, aunque una organización no esté obligada a tenerlo, es muy recomendable su designación y nombramiento de manera voluntaria, ya que es señal de responsabilidad proactiva por parte de la entidad, pues demuestra un respeto al cumplimiento de la normativa en esta materia y puede actuar como atenuante de una hipotética sanción que pudiera imponer la AEPD.

Entonces, ¿es importante el DPD?

Sí, pues es la figura garante del cumplimiento de la normativa de protección de datos y entre sus funciones, se encuentran la de informar y asesorar al Responsable, supervisar el cumplimiento y concienciar sobre las medidas adecuadas para el tratamiento correcto de los datos. Todo ello ayudará a que la organización sea más transparente.

En NC Consultors os podemos ayudar para cualquier duda que tengáis respecto a esta figura así como la necesidad de incorporar un DPD a vuestra empresa. Haznos tu consulta AQUÍ.

NC CONSULTORS

La entrada La importancia de nombrar un Delegado de Protección de Datos (DPD): sanciones recientes aparece primero en .