Pese a que el RGPD resulta aplicable desde el 25 de mayo de 2018, todavía hay muchas empresas e instituciones que no han cumplido con obligaciones fundamentales como la de designar delegados de protección de datos. La AEPD está tomando cartas en el asunto, y nos hacemos eco de dos sanciones al respecto para recordar:

  • Quién está obligado a designar delegados de protección de datos.
  • Las funciones de estos profesionales.
  • Y cómo se designan.

La cuestión no es meramente formal. Hablamos de sanciones de hasta diez millones de euros o el 2 % del volumen anual de negocios de la empresa (la cifra que resulte mayor). Así que cumplir con el RGPD es de vital importancia para la pervivencia del proyecto.

¡Encuentra ya a tu abogado especialista!

He leído y acepto las condiciones de uso y política de privacidad.

El delegado de protección de datos

El RGPD es la piedra angular de la legislación de protección de datos de carácter personal en la Unión Europea. Este es un derecho fundamental y, como tal, requiere una especial protección.

Por supuesto, el tratamiento de datos de carácter personal es necesario para desarrollar cualquier actividad económica, y la UE no es ajena a ello. Así que el objetivo del Reglamento General de Protección de Datos es producir un marco de uso responsable de esta información.

Dentro de este marco se introduce la figura del delegado de protección de datos (DPD), que actúa como asesor del encargado del tratamiento, supervisor del cumplimiento del RGPD y cooperador con la autoridad de control (en nuestro caso, la AEPD).

¿Quiénes deben designar delegados de protección de datos?

A tenor del art. 37 del RGPD, están obligados a designar a un delegado de protección de datos los responsables y encargados del tratamiento que:

  • Tengan la condición de autoridad u organismo público, salvo los tribunales en ejercicio de la función judicial.
  • Realicen principalmente operaciones de tratamiento que supongan la observación habitual y sistemática de interesados a gran escala.
  • O gestionen categorías especiales de datos personales a gran escala, así como datos relativos a condenas e infracciones penales.

El mismo delegado de protección de datos puede representar a todo el grupo empresarial o a varias autoridades u organismos, en su caso. Además, estos profesionales pueden formar parte de la organización o ser externos a su plantilla. Una vez designado el delegado de protección de datos, sus datos de contacto se deben hacer públicos y comunicarse a la autoridad de control.

¿Cómo se designa al DPD?

Los delegados de protección de datos deben designarse atendiendo a sus cualidades profesionales. Es imprescindible que sean profesionales especializados en Derecho y en protección de datos. Además, deben poder realizar todas las funciones que les encomienda el Reglamento:

  • Información y asesoramiento al encargado y al responsable del tratamiento, así como a sus empleados, en materia de protección de datos.
  • Supervisión del cumplimiento del RGPD y otras normas, como la LOPDGDD.
  • Asesorar en torno a la evaluación de impacto y supervisar su aplicación.
  • Cooperar con la autoridad de control y actuar como punto de contacto, realizando consultas previas y de otro tipo.

Evidentemente, para que el delegado pueda desarrollar sus funciones, tanto el responsable como el encargado del tratamiento deben garantizar su participación en las cuestiones relacionadas con el tratamiento de datos. Tendrán que proporcionarle medios y mantener su independencia, quedando vinculado por el deber de confidencialidad.

¿Qué ocurre si no se designa a un delegado conforme al RGPD?

El artículo 73 de la LOPDGDD determina que la falta de designación de delegado representa una infracción grave. Si aplicamos esta categorización al artículo 83.4 del RGPD, encargado de las sanciones, entenderemos que no designar a un delegado conforme al RGPD supone la posibilidad de sufrir multas administrativas de:

  • En general, hasta 10.000.000 €.
  • Y, en el caso de las empresas, hasta el 2% de su volumen de negocio global anual, siempre que sea superior a los 10.000.000 €.

El problema es que todavía no existe una verdadera conciencia sobre la importancia de proteger el tratamiento de datos de carácter personal. Y en ocasiones ni siquiera parece que estas sanciones sean efectivas.

Pero, con fines ilustrativos, traemos dos ejemplos recientes en que la AEPD actuó ante la falta de designación de delegado.

Ayuntamiento de Huercal: sanción por no nombrar a un DPD

Empezamos con el Procedimiento n.º PS/00001/2020, primer procedimiento sancionador de la AEPD de este año. Este se inició a causa de una reclamación, debido a que el Ayuntamiento de Huercal no protegió debidamente datos sensibles del padrón.

Básicamente se permitió el acceso a información relativa a beneficiarios de servicios sociales a dos voluntarios. Y aunque la AEPD advirtió de que convenía “que se informe a los voluntarios, si van a acceder a datos personales, de las medidas de seguridad que ha de tener en consideración y aplicar, así como de la obligación de mantener la confidencialidad…”, lo realmente relevante fue que de sus investigaciones se desprendía que el Ayuntamiento no había designado a un delegado de protección de datos.

Por eso requirió al Ayuntamiento el nombramiento de un delegado en el plazo de un mes, imponiendo una sanción de apercibimiento y comunicando la resolución al Defensor del Pueblo.

Glovo: multa de 25.000 € por no nombrar a un DPD

El hecho de que muchas infracciones sigan sancionándose con apercibimientos ha hecho que muchas empresas sigan tomándose el cumplimiento del RGPD a la ligera. Pero hace poco asistimos a otro tipo de sanción.

En este caso se trata de Glovo, compañía sancionada con una multa de 25.000 € por no haber nombrado a tiempo un delegado de protección de datos. Y ello pese a que contaba con un comité de protección de datos y nombró a un DPD extemporáneamente para tratar de evitar la sanción.

Sanción que, indirectamente, supone un evidente daño para su reputación. La compañía no tardó en emitir un comunicado tratando de tranquilizar a sus clientes, asegurando que su información personal no había corrido riesgo alguno en ningún momento.

Esperamos que estos ejemplos sirvan para comprobar que la AEPD sí cumple con su actividad sancionadora. De modo que las empresas tienen que adecuarse al Reglamento cumpliendo con todas sus obligaciones, incluyendo la designación de un delegado de protección de datos.

¡Encuentra ya a tu abogado especialista!

He leído y acepto las condiciones de uso y política de privacidad.