¿Están obligadas las pequeñas empresas a contratar un DPO?
La responsable de Compliance, Lucía Sánchez, explica si las pequeñas empresas deben contratar este perfil, por obligación derivada del nuevo RGPD.
El nuevo Reglamento, de obligado cumplimiento desde el pasado 25 de mayo, ha generado cierta alarma en las pequeñas y medianas empresas, que tienen ahora la duda de si están obligadaso no a incorporar a su plantilla un delegado de protección de datos.
“Hay personas que se han ofrecido a las pequeñas empresas para ser DPO –Data Protection Officer- argumentando que es necesario, cuando no es cierto”. La afirmación, que recoge la agencia Efe, es de Lucía Sánchez-Ocaña, responsable de Compliance y Legal de Cabot Financial Spain.
Sánchez-Ocaña ha participado en el III Congreso Internacional de Compliance organizado por Thomson Reuters, compañía que ofrece soluciones tecnológicas e información inteligente para empresas y profesionales y por la Asociación Española de Compliance (ASCOM). Y la respuesta es clara: el Reglamento General de Protección de Datos (RGDP) no obliga a las pequeñas empresas a contratar un Delegado de Protección de Datos (DPO).
“No vale el consentimiento tácito”
Durante el congreso, el subdirector general del Registro General de Protección de Datos, Julián Prieto Hergueta, advirtió que no vale “el consentimiento tácito”, ya que desde la aplicación del Reglamento “tiene que ser expreso” de aquellos de los que se hayan recogido los datos.
Durante el Congreso Internacional de Compliance se ha puesto de manifiesto la importancia de llevar a cabo programas de cumplimiento normativo. En este sentido, Alonso Hurtado, miembro de la Junta Directiva de ASCOM, expuso que el Reglamento “impacta de forma directa en materias como el consentimiento expreso; el silencio no puede considerarse nunca como positivo”.
Facilitar los datos
La nueva normativa reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento y también a que el cliente pueda solicitar que sus datos sean eliminados cuando estos ya no sean necesarios para la finalidad con la que fueron recogidos.
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.
