Muchas empresas y profesionales, desconocedores de la normativa vigente que regula la protección de datos (principalmente el RGPD y LOPDGDD, a fecha de hoy) se preguntan si están obligados a contratar los servicios de una asesoría o profesional que gestione la protección de datos de su entidad.
Respuesta rápida: NO.
Al igual que sucede con las asesorías laborales y fiscales, no existe una norma (al menos en España) que obligue a las empresas y profesionales a contratar los servicios de estas asesorías. Sin embargo, el hecho de contar con un profesional en la materia que pueda resolver todas las dudas, asesorar correctamente y conocer todas las exigencias legales en normativa laboral y/o fiscal hace que casi todas las empresas y profesionales contraten los servicios de estas asesorías.
Lo mismo deberían aplicar en materia de protección de datos, ya que si bien es cierto que no existe una norma que exija disponer de una asesoría o profesional externo en materia de protección de datos, Sí es recomendable que se disponga de este servicio, ya que se trata de entidades que cuentan con personas trabajadoras especializadas en la materia, y que están al corriente de los cambios normativos en la materia, así como de las resoluciones e informes emitidos por la Agencia Española de Protección de Datos (AEPD), que es la autoridad competente en esta materia.
Es muy habitual que durante las auditorías que se realizan con el cliente, este nos indique que le parece un “sacadineros” esto de la protección de datos. Sin embargo, debe entenderse que al igual que el resto de las normativas que debe cumplir la empresa, la de protección de datos es igual de importante, y abarca muchos campos, pues al fin y al cabo la mayoría de la actividad de la empresa se realiza mediante el tratamiento de datos de carácter personal de las personas, ya sean estas personas clientes, empleados o proveedores, o cualquier otra relación que le una con la entidad.
Debemos hacer mención al Delegado de Protección de Datos (DPO), que será tratado en otro apartado, pero en lo que interesa aquí, ni tan siquiera por el hecho de estar obligado a disponer de un DPO (supuestos recogidos en el artículo 37 del RGPD y 34 de la LOPDGDD) se está obligado a contratar los servicios de una asesoría o DPO externo, ya que la norma establece que este podrá ser tanto interno como externo. Sin embargo, como ya decíamos antes, se vuelve a recomendar la contratación de un asesor o DPO externo, puesto que se trata de profesionales especializados en la materia, que velarán por que la entidad cumpla adecuadamente la normativa aplicable, evitando sanciones, que al fin y al cabo es lo que buscan todas las empresa y profesionales.
En resumen, contratar los servicios de una asesoría de protección de datos no es obligatorio, pero SÍ es muy recomendable, puesto que dispondrás de un asesoramiento de profesionales en la materia, que podrán ahorrarte tiempo y a la larga dinero, ya que las sanciones por incumplir la normativa de protección de datos pueden llegar a ser muy costosas.
Recomiendo la lectura del documento elaborado por parte de la AEPD sobre prácticas fraudulentas por parte de consultorías y empresas que ofertan servicios de adecuación a una normativa específica: https://www.aepd.es/guias/coste-cero.pdf.