Nombramiento de Delegado de Protección de Datos en las empresas de más 50 trabajadores

El 4 de marzo de 2022, se presentó por parte del Consejo de Ministros, el anteproyecto de la Ley que informa sobre infracciones normativas y de lucha contra la corrupción, que transpone la Directiva de la Unión Europea 2019/1937, canales de denuncias.

Los canales de denuncia también son conocidos como whistleblowing.

¿Qué es whistleblowing? Canal de denuncias, creado como medio de comunicación confidencial, seguro e independiente para los empleados y directivos de una empresa, donde puedan informar sobre infracciones legales o conductas irregulares sucedidas dentro de la empresa o hacia terceros.

NORMATIVA APLICABLE

Directiva Whistleblowing junto con el Anteproyecto de Ley que la transpone en el ámbito nacional.

El artículo 8.3º de la “Directiva Whistleblowing” dispone que las empresas que empleen a 50 personas o más tienen la obligación de disponer de un canal de denuncias.

El artículo 34 del Anteproyecto de ley fija que las empresas que estén obligadas a disponer de un canal de denuncias, así como los terceros externos que lo gestionen, deben nombrar un Delegado de Protección de Datos.

¿Cómo sé que mi empresa necesita cumplir con esta normativa?

1. Comprobar que su empresa tenga a 50 o más empleados.
2. Si su empresa tiene menos de 50 trabajadores, se ha de tener en cuenta aquellos supuestos dónde la normativa de protección de datos establece una obligatoriedad de nombramiento de Delegado de Protección de Datos. Los supuestos establecidos en el artículo 37 del RGPD son los siguientes:
    
   • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática a gran escala.
   • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

3. Si su empresa tiene menos de 50 trabajadores, la normativa española de protección de datos, en aras de complementar la normativa europea, establece en su artículo 34 unos supuestos adicionales en los que se contempla la obligatoriedad de nombrar DPD:
   
   • Los colegios profesionales y sus consejos generales.
   • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas
   • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
   • Las entidades y/o prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de las personas usuarias del servicio.
   • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, que presten servicios de ordenación, supervisión y solvencia de entidades de crédito.
   • Las entidades cuya actividad sea establecimientos financieros de crédito.
   • Las entidades que presten servicios como aseguradoras y reaseguradoras.
   • Las entidades que sean empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
   • Las entidades cuyas actividades sean la prestación de servicios de distribución y comercialización de energía eléctrica y los distribuidores y comercializadores de gas natural.
   • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
   • Las entidades que desarrollen actividades y servicios de publicidad y prospección comercial, incluyendo las entidades de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de las personas afectadas o realicen actividades y servicios que impliquen la elaboración de perfiles de las mismas.
   • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
   • Las entidades que tengan como uno de sus objetos y servicios la emisión de informes comerciales que puedan referirse a personas físicas.
   • Las personas operadoras que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
   • Las entidades o empresas cuya actividad sean servicios de seguridad privada.
   • Las federaciones deportivas cuando traten datos de menores de edad.

Para cualquier consulta relacionada con este tema, no dude en contactarnos en el 932 000 149 o bien en el correo rgpdnexum@elegalnexum.com. Para que su empresa o su PYME se adapte a la normativa de protección de datos o evite ser sancionado por parte de la AEPD, en ETL NEXUM podemos ayudarle.

Carmen Samperio
Protección de datos y Nuevas Tecnologías 

Artículo anterior