Como ya sabemos, la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) supuso un cambio de paradigma en las normativas nacionales de protección de datos de los países miembros de la Unión Europea.
Una de las novedades más destacadas fue la creación imposición obligatoria, para determinados sujetos, de la figura del Delegado de Protección de Datos (DPD), una figura encargada de informar, asesorar, supervisar el cumplimiento normativo, así como cooperar y actuar como punto de contacto con la autoridad de control (Agencia Española de Protección de Datos [AEPD]).
Si bien es cierto que el RGPD establece (arts. 37-39) las circunstancias en las cuales se debe designar dicha figura en algunas entidades, así como la posición que ostenta en la misma y las funciones que le son asignadas, no es sino en nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) donde se establece de manera pormenorizada un listado de aquellas entidades que deben tener designado un DPD, todo ello bajo el amparo de lo dispuesto en el propio RGPD, donde se permite a los Estados Miembros un margen de actuación a la hora de ampliar los supuestos en los que se debe designar dicha figura.
Como indicábamos, tanto el RGPD cómo la LOPDGDD, recogen supuestos de designación obligatoria de esta figura.
- Artículo 37 RGPD – El responsable y encargado del tratamiento designarán un DPD en las siguientes casuísticas:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicialLas actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
- Artículo 34 LOPDGDD – Establece un listado de aquellas entidades que, debido al tratamiento de datos que realizan, están obligadas por ley a tener designado un DPD:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes (públicos y privados) que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
- Las entidades que desarrollen actividades de publicidad y prospección comercial cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
- En el presente artículo nos centraremos en dos casos recientes en los cuales la AEPD sanciona a dos entidades obligadas en virtud de los citados artículos, concretamente en lo relativo a entidades que tratan habitual y sistemáticamente datos a gran escala (artículo 37.1.b RGPD), así como empresas de seguridad privada (artículo 34.1 letra ñ LOPDGDD) y que no habían cumplido con su obligación de designar un Delegado de Protección de Datos:
- 1. Sanción de 25.000€ por incumplimiento del artículo 37.1.b del RGPD a la empresa GLOVO.
El pasado mes de abril de 2020 la AEPD interpuso la primera sanción por no tener designado un DPD, que ascendía a un total de 25.000€, a la famosa empresa de traslado a domicilio, compra, recogida y envío de productos GLOVO, encargada también de conectar a empresas, usuarios y repartidores, (ver resolución del procedimiento sancionador PS/00417/2019).
La empresa interpuso recurso de reposición (RR/00289/2020) ante la AEPD, en el que indicaba que no tenían la obligación de designar un DPD, en virtud de lo establecido en los artículos 34 LOPDGDD y 37 RGPD. A mayor abundamiento, alega que la entidad constituyó en junio de 2018 un Comité y un Subcomité de Protección de Datos, en vista de las obligaciones legales que les son de aplicación de tal manera que este Comité realizaba las labores de Delegado de Protección de Datos.
La empresa alegaba, de igual manera, que, si bien es cierto que el RGPD (art. 37.1 b)) establece la obligación de designación de la figura del Delegado a todas las aquellas entidades cuyas “actividades principales (…) consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala” en ningún precepto de nuestra legislación se establece ni delimita cuantitativamente el concepto de “tratamiento de datos a gran escala”.
Si bien la Autoridad de Control, en su resolución sancionadora hoy analizada, no entra a valorar el concepto a gran escala, traemos a colación un pronunciamiento del Grupo de Trabajo del Artículo 29 (GT29) actual Comité Europeo de Protección de Datos que indica que, a la hora de determinar si el tratamiento se realiza a gran escala, se deberán tener en cuenta los siguientes factores:
La AEPD considera que, a pesar de las alegaciones de la reclamada, es un hecho probado que, en el momento de iniciarse el procedimiento sancionador, al acceder a la política de privacidad web de la entidad, no se hacía mención al Delegado de Protección de Datos de la reclamada, como figura garante del cumplimiento de la normativa de la protección de datos de las organizaciones. Finalmente, la empresa nombró formalmente en mayo de 2019 un Delegado de Protección de Datos, comunicando dicho nombramiento ante la AEPD en enero de 2020.
La AEPD desestima, consecuentemente, el recurso de reposición planteada por la entidad GLOVO (ver resolución del recurso de reposición Nª RR/00289/2020 del procedimiento sancionador PS/004172019). Entiende la Agencia que la entidad, en el momento de la reclamación, incumplía la obligación legal de tener designado un DPD, al tratar un elevado volumen de datos de carácter personal de sus usuarios, entendiendo tal volumen como un tratamiento de datos a gran escala.
La regulación de las multas administrativas derivadas de la designación del DPD vienen recogida en el artículo 83.4 a) del RGPD, debiendo atender a las casuísticas recogidas en el art. 83.2, en virtud de las cuales, la AEPD refleja como circunstancias agravantes:
- Número de usuarios afectados (al entender que se realiza un tratamiento de datos a gran escala)
- Los datos personales de los afectados son datos identificativos de carácter personal.
La LOPDGDD cataloga como graves las sanciones derivadas de los preceptos del RGPD indicados, por lo que la AEPD, procede a desestimar el recurso de reposición interpuesto por le entidad, imponiéndoles una sanción de 25.000€.
- 2. Sanción de 50.000e por incumplimiento del artículo 37.1.b en relación con el 34.1 de la LOPDGDD a la empresa CONSEGURIDAD, S.L
De igual modo, y como indicábamos al principio del artículo, la AEPD ha interpuesto, recientemente, una sanción pecuniaria de 50.000€ a una empresa de seguridad privada (ver resolución del procedimiento sancionador PS/00251/2020), a raíz de una denuncia presentada por la Federación de Servicios para la Movilidad y el Consumo de la UGT Madrid.
Se alega, por parte de la entidad denunciante que esta empresa de seguridad privada disponía de un sistema de CCTV (circuito cerrado de televisión), donde grababa las imágenes de todas las personas que entran y trabajan en las instalaciones y que no contaba en sus filas con un DPD.
Nuestra autoridad de control considera hecho probado que esta entidad no había designado esta figura a pesar de encontrarse obligado a ello en virtud del artículo 37.1.b en relación con el 34.1 de la LOPDGDD La entidad reclamada no contestó al requerimiento.
Por todo ello, se le impone sanción pecuniaria para cuya cuantificación se tuvieron en cuenta las mismas agravantes que en el supuesto de la empresa GLOVO (tratamiento de datos identificadores básicos y tratamiento a gran escala), tipificado igualmente en virtud del art. 83.4 RGPD.
Como hemos podido comprobar, la no designación de un DPD no es una cuestión baladí para la AEPD. Es importante no olvidarnos de comprobar si nuestra entidad se encuentra, o no, dentro de los supuestos establecidos en el RGPD y la LOPDGDD, para así poder actuar conforme a ley y proceder a la designación de un Delegado de Protección de Datos.
Por último, debemos recordar igualmente que, para su designación, y en virtud de ambos textos legales, se deberá atender a sus cualidades profesionales, a su capacidad para poder desarrollar las funciones indicadas en la normativa y, en particular, a sus conocimientos especializados en Derecho y más concretamente en la materia de protección de datos, pudiendo tratarse de personal interno, o bien subcontratar dicho servicio a una empresa externa.
Puede consultar también otros artículos de nuestro blog en los que analizábamos esta figura (aquí, aquí, aquí y aquí)