Ens poden sancionar per no tenir un Delegat de Protecció de Dades? La resposta és: SI. En aquests darrers mesos hem vist com l’AEPD ha emès les seves primeres resolucions al respecte que avui analitzem.
La primera sanció relacionada amb la falta de designació d’un DPD correspon a Glovo. Com ja sabem, Glovo és una empresa privada dedicada a l’entrega de menjar a domicili i/o paquets, tant a empreses com a particulars. A priori, no sembla que compleixi amb cap de la casuística indicada a l’art. 34 de la LOPDGDD per a nomenar un DPD, més l’AEPD, estableix un criteri que crea un precedent molt important: segons l’AEPD, GLOVO sí que realitza un tractament a gran escala de dades i per això, ha de designar un DPD.
Per què GLOVO ha de nomenar un DPD segons criteri de l’AEPD?
Durant la tramitació d’aquest expedient, GLOVO va argumentar que, per la seva activitat, no estava obligada al nomenament d’un DPD per no trobar-se dins dels supòsits dels articles 37 RGPD i 34 LOPGDD. No obstant això, l’Autoritat de Control ha fonamentat que realitza un tractament a gran escala, segons l’art. 37.1.b) en el sentit següent: el concepte de “tractament de dades a gran escala” comportaque es tinguin en compte els següents factors:
- el nombre d’interessats afectats, bé com a xifra concreta o com a proporció de la població corresponent;
- el volum de dades o la varietat d’elements de dades que són objecte de tractament;
- la durada o permanència de l’activitat de tractament de dades i
- l’abast geogràfic de l’activitat de tractament.
I Glovo, degut a la seva activitat, pot arribar a tractar dades d’àmbit geogràfic tant a nivell regional com nacional, el que comporta que pot accedir a un elevat nombre d’interessats a gran escala.
És per tot això que l’AEPD ha sancionat a GLOVO amb 25.000 €, en virtut de l’art. 73.v) LOPDGDD, com a sanció greu. I ha tingut sort, doncs una infracció d’aquest tipus podria haver arribat a una multa administrativa de fins a 10.000.000 € o el 2 % de la facturació global de l’any anterior.
La segona de les resolucions que anem a comentar és la d’una entitat pública, en particular, l’Ajuntament de Huercal (Almeria).
Per què l’ajuntament ha de nomenar un DPD?
El RGPD ho diu clarament: s’haurà de designar un Delegat de Protecció de Dades quan el tractament el dugui a terme una autoritat o organisme públic (art. 37.1.a).
En aquest cas, la sanció imposada no ha sigut econòmica, sinó que ha sigut una advertència (figura regulada a l’art. 77.2 de la LOPDGDD) on la pròpia AEPD indica a l’organisme infractor la mesura o mesures que ha d’adoptar per al cessament de la conducta transgressora. En la decisió d’aquesta resolució, la mesura a aplicar ha sigut el nomenament d’un DPD.
No oblidem que països com Bèlgica, Alemanya i Àustria també han sancionat a diverses entitats pel mateix incompliment (no nomenar un DPD). A més, a Europa, també s’han penalitzat altres fets relacionats amb aquesta figura, com per exemple, la limitació de les funcions del DPD a l’hora de gestionar les bretxes de seguretat, l’existència de conflicte d’interessos pel nomenament com a DPD del responsable de compliance i auditoria interna, així com la sanció de 51.000 € a Facebook Germany GmbH per, tot i haver nomenat un DPD per a totes les empreses del grup ubicades a la Unió Europea, no notificar tal designació a l’autoritat de control competent.
En el cas espanyol, les dues sancions comentades són la llavor per a què les organitzacions que estiguin obligades a tenir DPD per la normativa, disposin d’aquesta figura.
En el nostre article “Quan s’ha de nomenar un DPD”,us indiquem els casos en què les entitats estan obligades a nomenar un DPD. Així mateix, és interessant recordar que, encara que una organització no estigui obligada a tenir-lo, és molt recomanable la seva designació i nomenament de manera voluntària, ja que és senyal de responsabilitat proactiva per part de l’entitat, doncs demostra un respecte al compliment de la normativa en aquesta matèria i pot actuar com a atenuant d’una hipotètica sanció que pogués imposar l’AEPD.
Llavors, és important el DPD?
Sí, doncs és la figura garant del compliment de la normativa de protecció de dades i entre les seves funcions, es troben la d’informar i assessorar al Responsable, supervisar el compliment i conscienciar sobre les mesures adequades per al tractament correcte de les dades. Tot això ajudarà a què l’organització sigui més transparent.
A Pymelegal estem certificats com a DPD’s, el que ens acredita la qualificació i capacitat professional, prestant-vos el servei externament i garantint coneixements especialitzats en la matèria. Us ajudem?
Si teniu dubtes o necessiteu més informació al respecte, estem a la vostra disposició.
L’Equip de PymeLegal.