El delegado de protección de datos (DSB) es obligatorio para las empresas que emplean a 20 o más trabajadores en actividades típicas de oficina. Recientemente, el Bundestag discutió sobre este mandato. ¿Por qué es el delegado un delegado? La respuesta a esta pregunta es al mismo tiempo la solución para la designación arbitraria del DSB.
Introducción
Cada empresa de cierta tamaño necesita un delegado de protección de datos. En cualquier caso, esto es aplicable siempre que al menos 20 empleados estén regularmente ocupados con el procesamiento digital (automatizado) de datos.
Esta frontera de 20 empleados está establecida en el artículo 38 del BDSG. Anteriormente, la frontera estaba en 10 empleados.
Al legislador no se le puede hacer un reproche por haber establecido una frontera que considera razonable. Una frontera legalmente establecida es siempre en sí misma arbitraria. Esto también es aplicable, por ejemplo, al tipo de impuesto y las fronteras para los tipos de impuestos así como para todo el sistema fiscal en sí mismo.
Encontrar una frontera es motivo de reflexión, especialmente cuando la frontera
a) inicialmente no existía a nivel de la UE (RGPD)
a) luego se estableció en Alemania a 10 empleados
fue entonces en Alemania cuando se estableció a 20 empleados
d) entonces debería haber sido abolido, pero no se abolió.
¿Qué sería si no hubiera una frontera?
El delegado de protección de datos como opción en lugar de obligatorio
El DSB es obligatorio para muchas empresas. Esto es bueno para el DSB y a menudo también es bueno para la protección de datos. En cualquier caso, no perjudica generalmente que exista un DSB. Esto se debe señalar con cierta precisión porque hay casos en los que la opinión equivocada de un DSB lleva a resultados negativos.
Independientemente de si esta errónea interpretación del DSB es la responsable de que en las mayoría de las páginas web alemanas se den graves infracciones de protección de datos o si es la resistencia a los consejos de los clientes, sea lo que sea. Por lo general, el asesor tiene razón, incluso cuando no es un asesor sino un encargado.
Si el defensor del pueblo no fuera obligatorio, las empresas lo contratarían de todos modos
A menudo se observa que incluso las pequeñas empresas contratan un DSB a pesar de no tener que hacerlo. También se puede suponer que las grandes empresas ordenan un DSB por iniciativa propia, aunque no lo necesiten. ¿Cómo sería si una autoridad (que en la práctica no impone multas) visitara un conglomerado y viera que nadie se dedica específicamente a cuidar del protección de datos?
¿Qué hace el DSB en realidad?
Una buena pregunta que aquí solo se responderá de manera aproximada.
El DSB es en primer lugar un Asesor. Muchos DSBs proporcionan a sus clientes al comienzo de la actividad un paquete de información con ofertas de capacitación, que a menudo se ofrecen por video, presentación o guías. Asimismo, se lleva a cabo una entrevista inicial en general. En ella se aclaran las particularidades del tratamiento de datos en el cliente como responsable.
Si se produce una pérdida de datos, se incorpora al DSB. Lo mismo sucede cuando los afectados ejercen su derecho a la información (Artículo 15 DSGVO). Además, el DSB es un buen interlocutor para cuestiones técnicas y proporciona a sus clientes indicaciones si es adecuado.
El delegado de protección de datos parece en cualquier caso no ser un encargado del tratamiento (vgl. Art. 37 DSGVO).
Propuesta de motivación para la orden de DSB
¿Qué pasaría si finalmente se sancionaran las infracciones a reglas de protección de datos obligatorias? Tales reglas se encuentran en la RGPD como regulación y en el TDDDG (anteriormente TTDSG) y BDSG como leyes. Sin embargo, nadie realmente se interesa por lo que está mal funcionando en Internet. Al menos no en Alemania.
Las autoridades de protección de datos simplemente no sancionan. Los extremadamente pocos casos en los que se ha impuesto una multa en Alemania no son dignos de mención.
En Alemania, la infracción más común en materia de protección de datos nunca ha sido sancionada hasta ahora.
Ningún caso único = entorno nulo o epsilon.
El fallo más común de protección de datos, que además es el más fácil de demostrar, nunca ha sido sancionado en absoluto. Se trata de un seguidor web ilegal incluyendo cookies ilegales. Solo por si acaso alguien encuentra un caso: cero o cinco, es lo mismo que cero cuando se trata de millones de violaciones de protección de datos que ocurren cada día en Internet en Alemania. El matemático rápido diría: el número de sanciones está dentro del entorno de Epsilon de cero.
Si no existieran la Verbraucherzentrale y personas como Max Schrems, que han logrado sentencias del Tribunal de Justicia de la Unión Europea con amplias consecuencias, en Alemania prácticamente nada pasaría. A excepción de que las autoridades emiten nuevas recomendaciones, anuncian pruebas, las llevan a cabo y establecen que hay algo malo. Después de eso, los funcionarios de la administración vuelven a otras actividades más agradables. No quieren hacerse impopulares. O, como un jefe de departamento del Oficial de Protección de Datos de Hesse, también pensar en la jubilación, que solo está a ocho años de distancia (estas informaciones son de primera mano y se han comunicado varias veces). Por lo tanto, no es sorprendente que Google Analytics sea considerado inocuo por esta autoridad y que las preferencias sexuales, expresadas mediante el compra de juguetes sexuales, sean vistas como datos no protegibles.
Pregunta del quiz: ¿Cuál es la diferencia entre un asesor fiscal y un delegado de protección de datos?
Algunas posibles respuestas para esta pregunta del quiz, dejando a un lado la orientación profesional de ambos oficios:
- El asesor fiscal se llama asesor, el encargado de protección de datos se llama encargado.
- El asesor fiscal no es obligatorio en absoluto, pero el delegado de protección de datos sí lo es a menudo.
- El asesor fiscal se encarga muy a menudo, aunque no es obligatorio, el delegado de protección de datos pero más raramente.
- Con el asesor fiscal se discute raramente "con confianza", pero con el delegado de protección de datos sí ( "¿No podemos simplemente incorporar Google Analytics en nuestra página web? Pasará algo, después de todo!" )
Contadores versus Delegado de Protección de Datos
Un asesor fiscal tiene mucho en común con un delegado de protección de datos. Ambos son asesores, solo que uno es el encargado. Ambos deben realizar todas las tareas posibles, comunicadas a través de todos los documentos posibles enviados. Ambos no son subcontratistas (en el caso del asesor fiscal hay ciertas actividades que se deben evaluar de manera diferente). Ambos tienen una responsabilidad si no hacen su trabajo correctamente y especialmente si no aconsejan adecuadamente a sus clientes. Ambos cuestan dinero. Ambos no contribuyen a la productividad de una empresa, sino que ayudan únicamente a cumplir con las disposiciones legales.
¿Por qué mi empresa tiene un asesor fiscal si no es obligatorio? ¿Por qué ninguna empresa en el pueblo (12 empresas) tiene un delegado de protección de datos?
La respuesta es: Porque el asesor fiscal es necesario para evitar problemas con la administración de hacienda. El delegado de protección de datos no ayuda a uno a librarse de problemas, porque estos problemas no existen.
¿Quién tiene miedo del malo lobo?
Nadie, si el lobo feroz es una autoridad de protección de datos.
Cada uno, cuando el malvado lobo es la oficina de impuestos.
DSB contra tax consultant.
La principal diferencia entre un asesor fiscal voluntario y a menudo obligatorio encargado de protección de datos es que el manejo de datos fiscales se produce en una atmósfera de intimidación y el alcance con datos personales es sin ninguna consecuencia, siempre que no te comportes como un tonto.
Las autoridades en Alemania no sancionan. La comisión de protección de datos del estado de Hesse no tiene ganas de sancionar. Hesse es un ejemplo seguro, ya que directamente ante la puerta y declaraciones de representantes de las autoridades se han podido tomar personalmente y también desde procedimientos. Las otras autoridades son más comprometidas, pero tienen muy poco personal. En este contexto podría volver a pedirse la abolición del federalismo!
El propuesta en este artículo es, por tanto:
- La obligación de solicitar la designación de un delegado de protección de datos debería desaparecer por completo.
- En su lugar, las autoridades deberían empezar a sancionar y aplicar multas también por infracciones en internet.
- Subordinado, pero un detalle agradable (DSB -> tax consultant): El delegado de protección de datos debería ser dirigido con la denominación asesor de protección de datos o al menos -analogamente al asesor fiscal- considerarse como asesor y no como delegado.
Con eso se resuelven varios problemas a la vez:
- Una frontera de empleados virtuales para una orden de compra obligatoria se elimina. El Parlamento tiene tiempo para otras tareas.
- Los defensores de la protección de datos finalmente son tomados en serio en todas partes.
- La protección de datos se convierte en un valor añadido.
- Plataformas como Facebook o Instagram y plugins como los de Google o Meta finalmente serán castigados, es decir, a quienes los utilicen ilegalmente. Probablemente pronto también deberán rendir cuentas Google o Meta.
Conclusión
El mercado de protección de datos está enfermo. Esto se debe a la falta de sanciones y nada más. La culpa de todos los cookies y pop-ups de cookies no es la DSGVO, sino corporaciones como Google o Meta, que junto con Microsoft y otros sospechosos son miembros del Bitkom.
La RGPD supuestamente da a las personas afectadas muchos derechos. Pero cuando se trata de reclamar estos derechos, entonces se vuelve problemático.
Las autoridades de protección de datos alemanas ni tienen ganas ni personal para imponer sanciones.
Por otro lado, por cada pequeñez se discute en los tribunales alemanes si la RGPD fue realmente así de intención. Esto significa: ¿Se pretendía realmente que alguien tenga derecho a que sus datos no sean simplemente maltratados, pero que luego también pueda exigir y pedir cesación?
También, las cosas van demasiado lejos. ¿Dónde iríamos si cada persona tuviera derechos? Al final podríamos incluso eliminar la obligación de nombrar un delegado de protección de datos sin que nadie se diera cuenta. O por diversión hacer obligatorio al asesor fiscal y renombrarlo como delegado de impuestos.
Mensajes clave
Las empresas con 20 o más empleados que trabajan con datos digitales necesitan un delegado de protección de datos.
En Alemania, las autoridades de protección de datos no sancionan las infracciones a las reglas de protección de datos, a pesar de que estas son comunes.
El artículo propone eliminar la obligación de tener un delegado de protección de datos y que las autoridades sancionen las infracciones en internet en lugar de eso.
La protección de datos es importante, pero las empresas no la toman en serio y las autoridades no hacen nada para obligarlas a cumplir con las reglas.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
