X
Privacidad y Cookies

Utilizamos Cookies propias y de terceros para ofrecer un mejor servicio y experiencia de usuario.

¿Permites el uso de tus datos privados de navegación en este sitio web?

El poli bueno que cuida los datos de los clientes, ¿obligatorio para todos?

La norma no aclara en qué casos es imperativo contar con esta figura Conviene evaluar riesgos de fuga y consultar Facilita, guía informática de la AEPD

La Unión Europea quiere que las empresas contraten una especie de poli bueno que garantice el cumplimiento del Reglamento General de Protección de Datos (RGPD). Pero, a menos de 10 días de la entrada en vigor efectiva de la norma, muchas pymes y autónomos no tienen claro si están sujetos a esta obligación, dónde podrán encontrar profesionales que cumplan este rol y si podrán pagarlo.

El delegado de protección de datos deberá actuar con independencia y ser especialista en leyes, aunque no necesariamente un abogado. Además, podrá ser interno o externo a la compañía que supervisa, así como una persona física o jurídica.

No todas las pymes están obligadas a contar con él, sino únicamente las que tratan cantidades masivas de datos sensibles. Dentro de este último concepto caben las creencias religiosas, opiniones políticas, la salud, orientación sexual, el origen étnico o racial, los antecedentes penales y datos genéticos o biométricos. Lo que el reglamento no precisa es a partir de qué volumen se considera que una empresa está manejando datos a gran escala.

Un médico o un abogado que tengan una consulta o despacho unipersonal en el que guardan ficheros de 100 clientes, por ejemplo, ¿debería contratar un delegado? “La norma no habla de 100 o 250 clientes, lo deja a la interpretación de cada quien. En el caso de un hospital, por ejemplo, donde el volumen de entrada y salida de pacientes es muy grande, queda claro que sí es obligatorio”, explica Belén Pose, experta de la compañía de defensa jurídica Arag.

El proyecto de la nueva ley de protección de datos que el Gobierno está tramitando en el Parlamento para actualizar la vigente de 1999 tampoco aclara este tema, aunque sí incluye un listado de actividades sujetas a la obligación de nombrar un delegado. Entre ellas figuran las aseguradoras, las casas de apuestas online, las agencias de publicidad y las firmas que realizan análisis de mercado.

De cualquier modo, aunque por su actividad no estén obligadas a contratar un delegado, Pose recomienda a las pymes hacerlo voluntariamente, “porque es una figura que ayudará a llevar la relación en esta materia con los clientes y la AEPD (Agencia Española de Protección de Datos)”.

Monkeys, agencia de comunicación que entre su propia base de datos y las de sus clientes gestiona información de medio millón de usuarios, ha designado a una empleada de los seis que tiene en plantilla para desempeñar esta función. “En realidad solo le hemos puesto nombre al cargo porque ya llevábamos tiempo haciéndolo”, comenta Luis Tusell, director de la agencia, que lleva dos meses preparándose para la entrada en vigor de la RGPD.

Hasta el momento, 1.348 empresas (261 privadas y 1.087 públicas) han comunicado a la AEPD el nombramiento del delegado. Ruth Benito, experta de la consultora Elzaburu, señala que no existe ningún tipo de baremo sobre lo que puede costar, en términos de salario u honorarios, esta figura, ya que dependerá de varios factores.

“Además, hay que considerar la posibilidad que ofrece el propio reglamento de nombrar a un solo delegado para varias empresas, lo que puede darse cuando lo nombra una asociación profesional u organismo de representación”, abunda.

En el caso de startups que desarrollan aplicaciones móviles, Pose, de Arag, aclara que el número de tarjeta bancaria no se considera dato sensible y, por lo tanto, estarían exentas de tener delegado. Sin embargo, el reglamento sí las obliga a realizar un análisis de riesgo de fuga o ataque informático, y a tomar medidas de seguridad para proteger esos ficheros.

En ese sentido, tanto las expertas consultadas como la AEPD recomiendan a las pymes consultar la herramienta Facilita, disponible en la web de la agencia, para constatar si están obligadas y, de estarlo, obtener los documentos necesarios para cumplir el reglamento.

Getty Images

Criterios a tener en cuenta

Desde la AEPD, confirman que, en efecto, el RGPD no define gran escala, aunque el considerando 91 ofrece una orientación. En cualquier caso, indican que el grupo de Autoridades Europeas de Protección de Datos recomienda tener en cuenta los siguientes factores a la hora de determinar si el tratamiento es masivo o no: el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o la variedad de elementos de datos distintos que se procesan, la duración o permanencia de la actividad y su alcance geográfico.

Para mayor información, la agencia española recomienda consultar las directrices del grupo de Autoridades Europeas de Protección de Datos, que incluyen ejemplos concretos.

Archivado en:

Y además:

Outbrain