Actualidad

LAS EMPRESAS QUE CUENTEN CON MÁS DE 50 EMPLEADOS, DEBERÁN NOMBRAR UN DELEGADO DE PROTECCIÓN DE DATOS, ASÍ COMO DISPONER DE UN CANAL DE DENUNCIAS INTERNO.

07 octubre, 2022

El Consejo de Ministros, en fecha 13 de septiembre de 2022, aprobó el Proyecto de Ley por el que se transpone en España la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, conocida también como “Directiva Whistleblowing”, en vigor desde finales de 2021.

Este Anteproyecto establece la obligación de nombrar un Delegado de Protección de Datos para todas aquellas empresas que tengan más de 50 trabajadores, por ser sujetos obligados a tener un canal de denuncias (whistleblowing).

¿Qué es el Whistleblowing?
El concepto Whistleblowing o Canal de Denuncias supone ser un sistema asentado de carácter interno en entidades, cuyo objetivo es que los integrantes de la misma o terceros que se relacionen con ella, puedan denunciar de forma anónima actividades irregulares o incumplimientos legales que puedan sustanciarse dentro del desarrollo de sus tareas.

La finalidad principal es, por tanto, evitar los incumplimientos normativos y la corrección de aquellos que ya se han producido a nivel interno.

¿Qué es un Delgado de Protección de Datos?
Esta figura, conocida popularmente como DPO (Data Protection Officer, en inglés), cumple con la función de garante del cumplimiento de la normativa de protección de datos en entidades y organizaciones, que, en ningún caso, sustituye las funciones desarrolladas por las Autoridades de Control (Agencia de Protección de Datos).

Entre sus funciones destacan el deber de informar y asesorar, así como supervisar el cumplimiento del Reglamento General de Protección de Datos respecto al Responsable o Encargado del Tratamiento.

¿Es necesario, entonces, que las empresas obligadas a disponer de un canal de denuncias nombren un Delegado de Protección de Datos?
La respuesta es afirmativa. A partir de la entrada en vigor de la citada Directiva y el Anteproyecto de ley que la traspone en España, todas aquellas empresas que cuenten con más de 50 empleados, tienen la obligación de nombrar un Delegado de Protección de Datos.

Sin embargo, existe la posibilidad de que, aun contando con menos de 50 empleados, exista la obligación de nombrar un Delegado de Protección de Datos. Debemos atender simultáneamente al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD) para poder dar respuesta a esta cuestión.

• De forma genérica, el artículo 37 RGPD indica que un DPO debe ser nombrado si las actividades del Responsable o Encargado del Tratamiento consisten en operaciones que por su naturaleza requirieran una revisión habitual y/o se realice un tratamiento a gran escala de categorías especiales de datos personales o relativos a condenas e infracciones penales.
• De forma específica, el artículo 34 LOPDGDD indica un listado de entidades u organizaciones que deben nombrar un DPO de forma obligatoria, como, por ejemplo, Universidades públicas y privadas, colegios profesionales o entidades aseguradoras, entidades del ámbito sanitario y educativo.

Por lo tanto, si se cumple el requisito de contar con más de 50 empleados se tendrá la obligación de contar con un canal de denuncias interno, así como el deber de nombramiento de un Delegado de Protección de Datos. Por otro lado, en caso de ser una entidad con menos de 50 empleados, deberá atenderse a si el tratamiento cumple lo dispuesto en el artículo 37 RGPD o, si, por el contrario, la entidad u organización se encuentra incluida en el listado del artículo 34 LOPDGDD.

¿Qué ocurre si no cumplo con lo dispuesto en el Anteproyecto de ley?
En el artículo 73. v) LOPDGDD se considera el hecho de no nombrar un DPO, en caso de obligatoriedad, como una infracción grave, pudiendo ser impuesta una sanción de hasta 300.000 euros.

¿Cuándo debe aplicarse y cumplirse el Anteproyecto de ley?
Tal y como su nombre indica, nos encontramos ante un anteproyecto, y, por lo tanto, aún no genera efectos respecto a las obligaciones.

Debe esperarse, por tanto, a que la fase de proyecto sea ejecutada y, por último, la ley sea aprobada y entre en vigor.