El Delegado de Protección de Datos («DPD») es una figura surgida del Reglamento General de Protección de Datos 2016/679 (“RGPD”). Este cargo, regulado en el artículo 39 de dicho Reglamento, tiene como funciones:
- Informar y guiar al Responsable del tratamiento y a los empleados.
- Supervisar el cumplimiento de la legislación de protección de datos.
- Asesorar en las evaluaciones de impacto.
- Estar en contacto y cooperar con la Autoridad de Control.
Además, hemos de destacar que el DPD puede ser interno o externo a la organización. No obstante, no puede coincidir con la misma persona que ostente el cargo de Responsable de tratamiento, sino que debe mantener su independencia para el desempeño de su actividad.
Las organizaciones que tienen que contar obligatoriamente con esta figura están contempladas en el artículo 37 del RGPD, y especifidas en el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales («LOPDGDD»).
HECHOS
A lo largo del año 2019; en concreto, el 21 de mayo y el 4 de noviembre, se presentaron dos reclamaciones ante la Agencia Española de Protección de Datos («AEPD») contra la entidad GLOVOAPP23, S.L., por carecer, esta, de un DPD al que poder dirigir las reclamaciones en materia de privacidad.
Ante dichas reclamaciones, GLOVOAPP23, S.L. contestó que su organización no se encontraba dentro de los supuestos del artículo 37 del RGPD ni del 34 de la LOPDGDD, que tienen obligación de nombrar un DPO.
El 13 de enero de 2020, vistas las comunicaciones y los hechos acaecidos, la AEPD acuerda iniciar un procedimiento sancionador al reclamado, por presunta infracción del artículo 37.1 letra b) del RGPD, tipificada en el artículo 83.4 del RGPD.
GLOVOAPP23, S.L., dentro de sus alegaciones, dice que no ha negado, en ningún momento, que su Comité de Protección de Datos desempeñara las funciones de DPD, ya que este órgano se ha venido encargando de «cubrir los ámbitos técnicos de la empresa» desde junio de 2018. Además, señala que, aunque el titular de este puesto ha sido nombrado oficialmente ante la AEPD en febrero de 2020, ya venía desempeñando estas funciones con anterioridad.
INFRACCIÓN COMETIDA
La AEPD considera probado que, una vez iniciado el procedimiento el 13 de enero de 2020, la entidad reclamada procedió a llevar a cabo la designación de la figura del DPD; haciendo efectivo su nombramiento el 31 de enero de 2020.
De este modo, no se ha producido un efectivo nombramiento de un DPD en la entidad reclamada con anterioridad a la reclamación, cuando se trata de una organización que se encuentra obligada, dado que lleva a cabo tratamiento a gran escala [artículo 37.1 letra b) RGPD, en relación con el artículo 34 LOPDGDD].
De hecho, al momento de iniciarse el procedimiento sancionador, al acceder a la sección de privacidad de la página web del reclamado (https://glovoapp.com/en/legal/privacy), no se hacía mención al DPD, como figura garantista de la normativa de la protección de datos en la organización.
De este modo, habiéndose constatado que no existía un DPO con anterioridad al inicio del procedimiento sancionador, se atiende a los siguientes agravantes para graduar la sanción (artículo 83.2 del RGPD):
- Número alto de interesados afectados, ya que la compañía lleva a cabo tratamientos a gran escala [artículo 83.2 letra a) RGPD].
- Se ven comprometidos identificadores personales básicos [nombre, apellidos,domicilio; artículo 83.2 letra g) RGPD].
SANCIÓN
Teniendo en cuenta la infracción cometida, así como el contexto en el que se producen los hechos, la AEPD resuelve imponiendo a GLOVOAPP23, S.L. una sanción de 25.000 euros.
****************************************
DELEGADO DE PROTECCIÓN DE DATOS
Artículo 37.1 letra b) RGPD:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
(…)
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,(…)”.
Artículo 33, apartados 1 y 3 de la LOPDGDD:
“Designación de un delegado de protección de datos:
1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679.
(…)
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.”
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 83.4 letra a) RGPD:
«4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…).
Artículo 73 letra v) LOPDGDD:
«Infracciones consideradas graves.
En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”
****************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00417/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).