La ley obligará a las empresas de más de 50 empleados a tener un delegado de privacidad

Hace unas semanas, se presentó ante el Consejo de Ministros el anteproyecto de ley sobre la directiva 'whistleblowing', la ley que pretende proteger a los informantes de corrupción. La propuesta recoge varias novedades, entre ellas, la exigencia de contar con un canal interno de denuncias para todas las compañías que cuenten con más de 50 trabajadores. Sin embargo, el texto incluye otra novedad relevante que ha pasado desapercibida, y es la obligación para las empresas de este tamaño de designar a un delegado de protección de datos (DPD).

Este deber aparece recogido en el artículo 34 del anteproyecto. Dice textualmente: "Las entidades obligadas a disponer de un sistema interno de comunicaciones [es decir, las organizaciones de más de 50 trabajadores] así como los terceros externos que en su caso lo gestionen (...), deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo, incluido dicho sistema interno de comunicaciones".

Hasta ahora, nuestro ordenamiento exigía incorporar esta figura solo a un puñado de organismos públicos y empresas que, por su actividad, tratan con un gran volumen de información sensible de otras personas. Esto incluía principalmente a colegios profesionales, centros docentes, compañías del sector de la energía, entidades bancarias, centros sanitarios o agencias de publicidad, entre otras. En caso de aprobarse el anteproyecto en los términos en que está redactado actualmente (y todo apunta a que así ocurrirá), esta obligación se extenderá a todas las organizaciones con plantillas superiores a los 50 trabajadores, independientemente de su sector de actividad o la cantidad de datos personales que manejen.

Opinión

TE PUEDE INTERESAR

Dificultades de los Estados de la UE al transponer la Directiva 'whistleblowing'

Alberta Zanata

A pesar de que el anteproyecto se aprobó hace unas semanas, la novedad del DPD es todavía muy desconocida. "A muchas compañías se les ha pasado por alto, no se han dado cuenta de esa nueva obligación", describe María Pardo de Vera, socia de Privacidad en Helas Consultores. En su opinión, muchas empresas todavía siguen centradas en adaptarse a otras de las obligaciones legales que han surgido recientemente, como la elaboración de un Plan de Igualdad o la propia implantación de un canal de denuncias.

¿Qué funciones tiene exactamente un DPD? El delegado de privacidad debe ser un profesional con formación específica en materia de protección de datos que asume las funciones de asesoramiento a la empresa sobre este tema. Su labor es verificar que la organización se adapta correctamente a la legislación y hacer de interlocutor con los organismos públicos como la Agencia Española de Protección de Datos (AEPD) en caso de haber algún problema, como ciberataques o violaciones internas de seguridad. La norma permite que sea tanto un trabajador contratado como un asesor externo, pero sí exige que actúe de forma independiente.

TE PUEDE INTERESAR

Cuenta atrás en la AEPD: España se arriesga a una sanción de la UE por politización

Pedro del Rosal

Hasta 100.000 euros de multa

¿Qué pasa si una entidad no cumple con su obligación de incorporar a un DPD? Para Martín, esta conducta podría ser considerada como una falta leve, según la ley de protección de datos, que prevé multas de hasta 100.000 euros. Hasta ahora, la AEPD ya ha castigado a algunas compañías por saltarse esta exigencia. Un ejemplo es Glovo, que en junio del año pasado tuvo que hacer frente a una sanción de 25.000 euros. O Conseguridad, una empresa especializada en seguridad y protección que tuvo que abonar 50.000 euros.

TE PUEDE INTERESAR

Ocho millones de euros: el importe de las multas de 2020 por vulnerar la privacidad

Irene Cortés

Más allá de esta falta concreta, el anteproyecto de ley también incluye un régimen sancionador para las organizaciones que no implanten un canal de denuncias. La norma diferencia entre personas físicas (individuos) y jurídicas (compañías). Como es habitual, las multas varían en función de la gravedad de cada caso. Así, las empresas se exponen a sanciones de hasta 100.000 euros en casos leves, entre 100.000 y 600.000 por infracciones graves y hasta el millón de euros en supuestos muy graves. Para las personas físicas, en cambio, las cuantías son algo más bajas, con un tope de 300.000 euros.

En la misma línea, desde IDBO Consultants recuerdan que la directiva prevé una nueva figura de vigilancia, la Autoridad Independiente de Protección del Informante. Esta entidad deberá gestionar el canal externo de comunicaciones, un recurso previsto para escalar aquellas denuncias interpuestas de forma interna que tienen recorrido. El organismo revisará la queja y podrá imponer sanciones adicionales a las previstas en la ley, como por ejemplo la prohibición de contratar con el sector público durante un plazo máximo de tres años.

Ley de informantes, ¿de dónde sale?

El anteproyecto de ley nace con el objetivo de adaptar a nuestro país una normativa europea, la conocida como directiva 'whistleblowing' que entró en vigor el pasado 17 de diciembre. Principalmente, la normativa busca atajar la corrupción en empresas y entidades públicas y proteger a las personas que denuncian irregularidades. Para ello, obliga a un gran número de entidades, tanto del sector público como del privado, a implantar canales internos de comunicación para que los propios empleados puedan interponer denuncias (formales o anónimas). Las quejas deben ser revisadas por un organismo independiente que investigue los hechos.