Hay una gran novedad en el Reglamento General de Protección de Datos (RGPD): hace unas semanas, el Bundestag duplicó el umbral para el nombramiento de un delegado de protección de datos de la empresa. Con ello se pretende liberar a las pequeñas empresas de la burocracia.
El GDPR lleva ya más de un año en vigor y ahora hay un cambio interesante en lo que respecta al delegado de protección de datos (DPO). La obligación de nombrar a un RPD sigue dependiendo del número de empleados que se ocupan constantemente del tratamiento automatizado de datos personales.
Originalmente, se decía que si 10 empleados se ocupan constantemente del tratamiento automatizado de datos personales, era necesario un RPD. Con el nuevo proyecto de ley, este umbral se ha elevado a 20 empleados. Con ello se pretende aliviar la carga de las pequeñas empresas y asociaciones en particular. Los defensores del nuevo umbral sostienen que el 90% de las empresas artesanales se beneficiarían de él y que es posible una enorme reducción de la burocracia. Por otro lado, críticos como el Comisario Federal de Protección de Datos, Ulrich Kelber, la consideran una "medida errónea que podría poner en grave peligro el mantenimiento del alto nivel de protección de datos en Alemania". "Sería deseable que el Gobierno aprovechara la actual evaluación del Reglamento General de Protección de Datos para hacer que la protección de datos sea lo más práctica y orientada al riesgo posible", afirma Patrycja Tulinska, experta en seguridad informática y directora general de PSW Group Consulting. Tulinska explica qué efectos tendría el cambio de la ley en las empresas en la práctica: "Para el legislador, se considera que una persona está empleada de forma permanente si es responsable permanentemente de la gestión de clientes o de personal. Las personas que, por ejemplo, como artesanos o empleados en la producción, sólo se ocupan de los nombres y las direcciones de los clientes, no se dedican a ello de forma permanente.
Por tratamiento automatizado de datos se entiende la recogida, el tratamiento y la utilización de datos personales con ayuda de equipos de tratamiento de datos. Por lo tanto, puede tratarse de ordenadores, smartphones o servidores, pero también de una fotocopiadora si funciona con un soporte de almacenamiento". Sin embargo, el nuevo umbral no se aplica a las empresas que tratan datos personales que contribuyen a la evaluación de la personalidad del interesado, su rendimiento o su comportamiento.
"Esto afectaría, por ejemplo, a un acústico de audífonos o a un mecánico ortopédico. Los datos personales son tratados por ellos y utilizados para evaluar al interesado. En consecuencia, deben nombrar a un responsable de la protección de datos aunque estén por debajo del umbral", añade Tulinska. Lo mismo ocurre con las empresas que se dedican a tareas soberanas, como el deshollinador.