Si el nuevo anteproyecto de ley aprobado en marzo sigue adelante, las empresas de más de 50 trabajadores deberán contar con un Delegado de Protección de Datos (DPD) para asegurar que se protegen como es debido los datos personales de quienes con ella se relacionan en el día a día.
En realidad, con este anteproyecto de ley se pretende cumplir con la obligada transposición de la ‘Directiva whistleblowing’. Se trata de una norma europea aprobada en 2019 para proteger a quienes informen acerca de posibles infracciones legales en el seno de una organización.
Entre otras cuestiones, amplía la obligación de contratar a un DPD a todavía más supuestos de los que ya contemplaba el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD). Aunque se trata, aún, de eso: de un anteproyecto de ley. Todavía debe iniciarse la fase de proyecto y ser finalmente aprobada como una ley en vigor para que sus exigencias surtan efecto.
La ‘Directiva whistleblowing’ y los canales de denuncias internos
Con el fin de adecuarnos a la directiva europea, el nuevo anteproyecto busca aportar la protección adecuada ante las represalias que puedan tener que afrontar quienes informen de la existencia de infracciones del ordenamiento jurídico de la Unión Europea. Hablamos tanto de acciones como de omisiones, siempre que se puedan considerar una infracción administrativa o penal grave. Y, aunque esta protección se ejerce en todos los ámbitos, se señalan como los más importantes los relacionados con la salud y la seguridad en el trabajo.
En este sentido, podría parecer que el objeto de protección son solo los trabajadores, pero nada más lejos de la realidad. En ambos sectores, público y privado (en este último, si la plantilla supera los 50 empleados), se busca también proteger los derechos de:
- Trabajadores que ya no mantengan una relación laboral con la empresa.
- Becarios.
- Voluntarios.
- Participantes en procesos de selección.
- Accionistas.
- Miembros de cualquier órgano directivo.
- Autónomos.
La canalización de las informaciones se realizará preferiblemente de manera interna, a través de canales gestionados por un responsable nombrado a tal efecto. Asimismo, las denuncias se tendrán que poder presentar y tramitar de forma anónima.
El papel del DPD y todas sus funciones
Ya hemos hablado en alguna ocasión del DPD y su importancia. No obstante, no queremos dejar de recordarte cuáles son hoy en día sus funciones y hasta dónde llega su relevancia en la actualidad.
Concretamente, el DPD es la persona jurídica o física encargada de garantizar con su supervisión y gestión el cumplimiento de la normativa vigente en relación con la protección de datos personales en las empresas y organizaciones. Su ámbito de actuación es muy amplío, de modo que abarca todas estas funciones:
- Funciones organizativas: llevar un registro de todas las operaciones con tratamiento de datos personales, revisarlas y evaluar sus riesgos, así como gestionar directamente aquellas que den lugar a un riesgo alto.
- Funciones de supervisión: con el objetivo de asegurar el cumplimiento normativo, se hace cargo de las violaciones de seguridad y lleva a cabo las investigaciones correspondientes (en el tema que nos ocupa, interesa la investigación de las denuncias internas).
- Funciones consultivas: el DPD, además, asesorará sobre la aplicación de la normativa, participará en la elaboración de códigos de conducta y fomentará en todo momento la cultura de la protección de datos en la empresa.
- Funciones cooperativas: el DPD colaborará siempre con la Agencia Española de Protección de Datos (AEPD) y servirá de intermediario entre la empresa y esta autoridad de control.
¿Qué empresas tienen la obligación de incorporar a un DPD?
Contratar a un DPD ya era obligatorio en muchos supuestos, pero, como hemos comentado, estos supuestos ahora parece que van a verse ampliados. En total, sumando todos los textos legales aplicables, estas son las organizaciones que deberían incorporar a un DPD a su equipo:
- Organizaciones públicas.
- Empresas con más de 50 trabajadores.
- Empresas con menos de 50 trabajadores que pertenezcan a los grupos que contempla genéricamente el RGPD y más específicamente la LOPD.
Desde APDTIC, te aconsejamos que tomes muy buena nota de estas obligaciones normativas, ya que desobedecerlas puede conllevar la imposición de importantes sanciones. No olvidemos que se trataría, en su caso, de una infracción grave. Como tal, la multa podría ascender en el peor de los casos a los 10 millones de euros.