Según una regla general, unas 364.000 empresas en Alemania tendrían que informar a las autoridades sobre un responsable de protección de datos en su empresa. Según una evaluación de ER Secure, solo una de cada tres empresas lo hace.
El Reglamento General de Protección de Datos de la UE es a menudo objeto de bromas en off: si realmente se pueden intercambiar tarjetas de visita sin que se hagan declaraciones de protección de datos. Si se puede escribir el nombre en el timbre de la puerta, hasta qué punto es legal un grupo de Whatsapp en el trabajo por proyectos o si realmente se pueden recordar los nombres y preferencias de los clientes habituales en la carnicería.
Interrogados por las autoridades
Una encuesta encargada por el especialista en protección de datos ER Secure ha revelado ahora que solo alrededor del 30 por ciento de las empresas ha cumplido con su obligación de notificar a un responsable de protección de datos desde la entrada en vigor del GDPR en mayo. Para ello, se encuestó a 16 autoridades estatales competentes. Pero, ¿cómo se llega a la cifra del 30%? Al fin y al cabo, los autores del estudio no pueden saber cuántas empresas en Alemania están obligadas a informar para llegar a una cuota del 30 por ciento de este valor básico.
La regla general
Para ello, se utilizó una regla general que establece que las empresas deben nombrar un responsable de protección de datos si al menos diez empleados, independientemente de su relación laboral, tratan regularmente con datos personales. Según Statista, se trata de unas 364.000 empresas en Alemania. 108.000 han registrado a un responsable de la protección de datos, es decir, sólo un tercio aproximadamente.
Sin embargo, la regla general tiene sus límites: Independientemente de su número de empleados, según el artículo 37 del RGPD, todas las empresas necesitan también un responsable de la protección de datos cuando los datos personales se procesan automáticamente, como las direcciones de correo electrónico de los clientes. Las empresas del sector sanitario, donde se acumula información especialmente sensible, también necesitan en cualquier caso un responsable de la protección de datos que vigile el tratamiento de estos datos especialmente sensibles. Esto tiende a elevar el valor básico y, por lo tanto, una proporción aún menor de empresas sujetas a la obligación de informar han cumplido con su obligación de informar.
¿Conflictos de intereses?
Según ER Secure, también es relevante si surgen conflictos de intereses para un empleado interno. En este contexto, en muchas empresas tiene sentido nombrar a un responsable de la protección de datos externo. Los responsables de la protección de datos -ya sean internos o externos- deben informar a la autoridad de control. Sus datos de contacto también deben publicarse en el sitio web de la empresa, por ejemplo, como parte de la política de privacidad.
Legislación compleja
"Observamos una incertidumbre continua entre muchas empresas", comenta René Rautenberg, director general de ER Secure. Muchos, dice, simplemente no tienen una visión general de si necesitan un responsable de la protección de datos en relación con el tamaño de su empresa y su objetivo. "Muchos no saben que, incluso en la situación legal anterior, existía realmente la obligación de nombrar un responsable de la protección de datos (artículo 4f de la BDSG)", añade el experto en protección de datos. "Todavía se aprecian lagunas en la aplicación del RGPD en la vida cotidiana. Al mismo tiempo, las autoridades han aumentado su personal", dice Rautenberg. En su opinión, las autoridades harán ahora un seguimiento sucesivo y prioritario de todas las denuncias que les hayan llegado. Tal y como se desprende de la encuesta, el 60% de las autoridades de protección de datos encuestadas en los estados federados ven una tendencia alta y constante en las consultas y reclamaciones en el cuarto trimestre de 2018. El 20% de los encuestados, en cambio, prevé un aumento significativo.