El Anteproyecto de Ley que transpone la Directiva de Whistleblowing establece la obligación de que todas las empresas de más de 50 empleados designen un Delegado de Protección de Datos
El pasado 4 de marzo se aprobó el Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que transpone al ordenamiento jurídico español la Directiva 2019/1937, conocida como Directiva de Whistleblowing. Una de las obligaciones transpuestas es la de implementar un sistema interno de información, o canal de denuncias, algo que será obligatorio para todas las empresas de más de 50 empleados. Esta obligación ha traído consigo un aspecto relevante que traspasa el ámbito del compliance penal y afecta al compliance en materia de protección de datos.
La figura del Delegado de Protección de Datos
El artículo 34 del Anteproyecto establece que todas las empresas que tengan la obligación de disponer de un canal de denuncias, tendrán también la obligación de nombrar un Delegado de Protección de Datos (o, por sus siglas, DPD). Así, todas las empresas que tengan más de 50 empleados se verán obligadas a nombrar un DPD, si es que no tenían ya la obligación de hacerlo de acuerdo con la correspondiente normativa en materia de protección de datos. El DPD ejercerá sus funciones, por supuesto, para todos los tratamientos de datos que realice la organización y no solo para el tratamiento de datos que se deriva de un canal de denuncias.
El Delegado de Protección de Datos es una figura profesional prevista tanto en la legislación europea (RGPD) como en la nacional (LOPD GDD) y que puede ser una persona física o jurídica, interna o externa a la empresa, pero que en todo caso debe tener un carácter independiente.
Entre sus funciones se encuentran, entre otras:
· informar, asesorar y supervisar el cumplimiento de la normativa de protección de datos.
· actuar como punto de contacto de la autoridad de control, en el caso de España, la Agencia Española de Protección de Datos.
Nuevas obligaciones para las medianas empresas
De aprobarse este nuevo Anteproyecto, el volumen de empresas que se verían obligadas a designar esta figura sería inmenso, disparándose la demanda de esta clase de servicios por parte de las empresas, que no siempre están preparadas para asumir internamente estas funciones debido al alto grado de conocimiento especializado que requiere un DPD.
Resultará crucial en los próximos meses prestar especial atención al desarrollo de este Anteproyecto, para así identificar posibles cambios y, de aprobarse conforme la redacción actual, garantizar que todas las medianas empresas estén debidamente preparadas para asumir estas nuevas obligaciones y contar con el Delegado de Protección de Datos.
Autor: Eduardo Oliveros