La Agencia Española de Protección de Datos ha sancionado a varias empresas que carecían de Delegado de Protección de Datos (DPO).

Como sabemos, tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales exigen obligatoriamente a ciertas empresas que cumplan con la obligación de designar un DPO. El artículo 34 de la LOPDGDD, en concreto, exige dicha obligación para empresas como Clínicas, Centros docentes (Colegios, Centros de educación infantil, etc…) CENTROS SANITARIOS, EMPRESAS DE SEGURIDAD PRIVADA, FEDERACIONES DEPORTIVAS QUE TRATEN DATOS DE MENORES, FUNDACIONES, ASOCIACIONES INMOBILIARIAS, ETC…(enlace LOPDGDD :

E igualmente el Reglamento General de Protección de Datos (RGPD) establece que será obligatorio designar un DPO cuando (Artículo 37 Designación del delegado de protección de datos):

  1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
  2. a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  3. b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  4. c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Así, atendiendo a estos preceptos legales, la Agencia ha sancionado a la empresa GLOVO, con 25.000€, y ha decidido dictar un apercibimiento frente a un Ayuntamiento de Almería por no tener debidamente nombrado un Delegado de Protección de Datos.

En el caso de Glovo, viene obligado por el articulo 37.1b) del RGPD, pues trata datos a gran escala. Es cierto que el principal problema en lo que se refiere a este precepto concreto es que el RGPD no establece a partir de qué número de usuarios se interpretaría que estamos ante un tratamiento masivo o a gran escala, por lo que puede ser interpretable. En cambio, vemos como en el artículo 34 de la LOPDGDD, que también hemos indicado más arriba, sí se recogen de manera clara, sin lugar a interpretaciones, qué empresas deben contar necesariamente con un DPO.

En todo caso, sí parece que se puede entender que una empresa como Glovo, que opera en internet y segmenta perfiles de manera continua estaría dentro de ese tratamiento a gran escala, y por tanto obligada a designar DPO.

El expediente sancionador se inicia por denuncia de dos particulares en el mes de mayo de 2019 y de noviembre del mismo año. Si bien la empresa alegó que había nombrado un Comité de Protección de Datos, la Agencia ha estimado que no cumple con la obligación de designación de un Delegado, lo que se debe hacer ante la propia Agencia, a pesar de estar obligado a ello desde hace dos años, desde que empezó a ser aplicable el RGPD.

En cuanto al segundo caso, el apercibimiento al Ayuntamiento de Almería (del municipio de Huércal Olvera) el caso es más claro, ya que no cabe interpretación respecto a que las Administraciones Públicas están obligadas a designar un DPO, por lo que no cabe duda respecto a la infracción cometida.

Con estas sanciones la Agencia Española de Protección de Datos podría haber marcado el camino a seguir a partir de ahora. Son numerosas las empresas obligadas a contar con un Delegado de Protección de Datos, que se ocupe de velar por la privacidad y la adecuada aplicación de la normativa y, al mismo tiempo, pueda dar respuesta a posibles reclamaciones o denuncias de cualquier interesado ante la empresa, e incluso recibir directamente la incoación de un expediente sancionador por parte de la propia Agencia (de hecho el artículo 39.1 e) del RPGD establece que una de sus funciones sería actuar como punto de contacto de la autoridad de control –Agencia Española de Protección de Datos, en el caso de España- para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.”). Sin embargo, un gran número de estas empresas obligadas aún no han procedido a su nombramiento.

En un futuro podrían, además, producirse sanciones por otro tipo de cuestiones también vinculadas al DPO, pero por motivos diferentes a su falta de designación. Por ejemplo, una empresa podría haber nombrado debidamente, y comunicado a la Agencia su DPO, y sin embargo que quien ejerza esa función no tenga la aptitud necesaria.

Es cierto que ni el RGPD ni la LOPDGDD exigen contar con una titulación concreta, pero también lo es que se establece en el artículo 37.5 que “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.

Es decir, que se requiere que el DPO tenga, como mínimo, una formación jurídica y una experiencia demostrable en protección de datos. No será válido, por tanto, nombrar a una persona de la empresa sin esa cualificación jurídica o que no pueda acreditar dicha experiencia en la materia.

Igualmente hay que tener en cuenta que la figura del DPO tiene entre sus funciones las de supervisar las políticas de privacidad de la empresa, por lo que, en caso de que se nombre a una persona que pertenezca a la propia Organización, y a pesar de que el RGPD establece que no podrá recibir instrucciones en lo que respecta al desempeño de sus funciones (artículo 38.3 RGPD) podríamos estar ante un conflicto de intereses, por lo que lo recomendable es que este servicio se externalice, apoyándose en despachos expertos en el ámbito de la protección de datos.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *