¿Nos pueden sancionar por no tener un Delegado de Protección de Datos?” La respuesta es: SÍ. En estos últimos meses hemos visto como la AEPD ha emitido sus primeras resoluciones al respecto que queremos comentar hoy en nuestro post.
La primera sanción relacionada con la falta de designación de un DPD corresponde a Glovo. Como ya sabemos, Glovo es una empresa privada dedicada a la entrega de comida a domicilio y/o paquetes, tanto a empresas como a particulares. A priori, no parece que cumpla con ninguna de la casuística indicada en el art. 34 de la LOPDGDD para nombrar un DPD, más la AEPD, establece un criterio que crea un precedente muy importante: según la AEPD, GLOVO sí que realiza un tratamiento a gran escala de datos y por ello, debe nombrar un DPD.
¿Por qué GLOVO debe nombrar un DPD según criterio de la AEPD?
Durante la tramitación de este expediente, GLOVO argumentó que, por su actividad, no estaba obligada al nombramiento de un DPD por no encontrarse dentro de los supuestos de los artículos 37 RGPD y 34 LOPGDD. Sin embargo, la Autoridad de Control ha fundamentado que realiza un tratamiento a gran escala, según el art. 37.1.b) en el sentido siguiente: el concepto de “tratamiento de datos a gran escala” conllevaque se tengan en cuenta los siguientes factores:
- el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
- el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
- la duración o permanencia de la actividad de tratamiento de datos y
- el alcance geográfico de la actividad de tratamiento.
Y Glovo, debido a su actividad, puede llegar a tratar datos de ámbito geográfico tanto a nivel regional como nacional, lo que conlleva que puede acceder a un elevado número de interesados a gran escala.
Es por todo ello que la AEPD ha sancionado a GLOVO con 25.000 €, en virtud del art. 73.v) LOPDGDD, como sanción grave. Y ha tenido suerte, pues una infracción de este tipo podría haber llegado a una multa administrativa de hasta 10.000.000 € o el 2 % de la facturación global del año anterior.
La segunda de las resoluciones que vamos a comentar es la de un ente público, en particular, el Ayuntamiento de Huercal (Almería).
¿Por qué el Ayuntamiento debe nombrar un DPD?
El RGPD lo dice claramente: se deberá designar un Delegado de Protección de Datos cuando el tratamiento lo lleve a cabo una autoridad u organismo público (art. 37.1.a).
En este caso, la sanción impuesta no ha sido económica, sino que ha sido un apercibimiento (figura regulada en el art. 77.2 de la LOPDGDD) donde la propia AEPD indica al órgano infractor la medida o medidas que debe adoptar para el cese de la conducta transgresora. En el fallo de esta resolución, la medida a aplicar ha sido el nombramiento de un DPD.
No olvidemos que países como Bélgica, Alemania y Austria también han sancionado a diversas entidades por el mismo incumplimiento (no nombrar un DPD). Además, en Europa, también se han penalizado otros hechos relacionados con esta figura, como por ejemplo, la limitación de las funciones del DPD a la hora de gestionar las brechas de seguridad, la existencia de conflicto de intereses por el nombramiento como DPD del responsable de compliance y auditoría interna, así como la sanción de 51.000 € a Facebook Germany GmbH por, pese haber nombrado un DPD para todas las empresas del grupo ubicadas en la Unión Europea, no notificó tal designación a la autoridad de control competente.
En el caso español, las dos sanciones comentadas son la semilla para que las organizaciones que estén obligadas a tener DPD por la normativa, dispongan de dicha figura.
En nuestro artículo “Cuándo se debe nombrar un DPD”,os indicamos los casos en que las entidades están obligadas a nombrar un DPD. Asimismo, es interesante recordar que, aunque una organización no esté obligada a tenerlo, es muy recomendable su designación y nombramiento de manera voluntaria, ya que es señal de responsabilidad proactiva por parte de la entidad, pues demuestra un respeto al cumplimiento de la normativa en esta materia y puede actuar como atenuante de una hipotética sanción que pudiera imponer la AEPD.
Entonces, ¿es importante el DPD?
Sí, pues es la figura garante del cumplimiento de la normativa de protección de datos y entre sus funciones, se encuentran la de informar y asesorar al Responsable, supervisar el cumplimiento y concienciar sobre las medidas adecuadas para el tratamiento correcto de los datos. Todo ello ayudará a que la organización sea más transparente.
En Pymelegal estamos certificados como DPD, lo que nos acredita la cualificación y capacidad profesional, prestándoos el servicio de forma externalizada y garantizando conocimientos especializados en la materia. ¿Os ayudamos?
Si tenéis dudas o necesitáis más información al respecto, estamos a vuestra disposición.
El Equipo de PymeLegal.