¿Aún no has designado a un delegado de protección de datos?

 

En estos días se ha podido comprobar como la autoridad de control española ha comenzado a sancionar a algunas entidades por no haber designado a debido tiempo a su delegado de protección de datos. Con estas sanciones se está reforzando y poniendo de relieve la importancia de la figura del DPD.

La primera de las sanciones con 25.000 euros de multa se refiere a la entidad de reparto a domicilio GLOVOAPP23, S.L. Las reclamaciones realizadas  por parte de dos usuarios de la plataforma, fueron puestas en conocimiento de la AEPD en fecha de 21 de mayo y otra más, el día 4 de noviembre de 2019. En ellas, se hacía saber que en la información que contenía la página web, en su política de privacidad, no aparecía el dato del delegado de protección de datos para poder ejercer los derechos reconocidos en el RGPD.

En sus alegaciones, la entidad reclamada manifiesta que no se encontraba dentro de los supuestos obligatorios para la designación de un DPD. No obstante, sí que habían nombrado un Comité de Protección de Datos, que suplía las funciones propias del delegado de protección de datos.

 

 

En este caso concreto tenemos que acudir al art. 37.1.b del RGPD en el que nos dice que el responsable y el encargado del tratamiento deben designar siempre un delegado de protección de datos, cuando de sus actividades principales se deduzca que por su alcance y/o fines requieren de una observación habitual y sistemática de interesados a gran escala.

La AEPD en su resolución manifiesta que se procede a sancionar a GLOVOAPP23 S.L. con una multa de 25.000 euros por haber actuado sin delegado de protección de datos, considerándose esto como una infracción grave. Además, aplica una serie de agravantes como son el número de interesados afectados, debido al número tan elevado de clientes y el tratamiento de datos personales identificadores básicos.

¿Entonces, por qué es importante la designación de un delegado de protección de datos?

 

En primer lugar, para evitar sanciones como la anteriormente expuesta. En nuestra normativa, en el art. 34 de la LOPDGDD, se han definido un listado de aquellas entidades que deben tener esa figura de forma obligatoria. Aunque no tenemos que quedarnos solamente con ese listado, sino que, además, habrá que tener en cuenta también los criterios del art. 37 RGPD para evitar sanciones;

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público. En este sentido tenemos que señalar la reciente sanción al Ayuntamiento de Huercal por no haber designado todavía un DPD.
  2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieren de una observación habitual y sistemática de interesados a gran escala. Ese ha sido el caso de la infracción cometida por GLOVOAPP23, S.L.
  3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

 

¿En qué te puede ayudar designar un delegado de protección de datos?

 

En segundo lugar, contar con un delegado de protección de datos en tu entidad, no solamente te ayudará a evitar sanciones en los casos en los que resulta de obligado cumplimiento. Además, en aquellos en los que la ley no lo exige puede ser recomendable y aconsejable 100% nombrar un DPD en las entidades, ya que además del apoyo de supervisión y resolución de reclamaciones que reciba el responsable. La AEPD lo tienen en cuenta como atenuante cuando se deban imponer sanciones económicas.