Al tratarse de una empresa dedicada a los juegos online, la falta de designación de DPD, da lugar a la vulneración del artículo 37.1 b) del RGPD en relación con el artículo 34.1 n) de la LOPDGDD.
El pasado 27 de enero, la parte reclamante interpone ante la AEPD una reclamación porque que no se ha atendido su derecho de supresión en el plazo legalmente establecido y que dicha empresa no tiene nombrado a un Delegado de Protección de Datos al que dirigir las reclamaciones.
Antes de admitir a trámite la denuncia, la AEPD realiza hasta dos intentos de notificación a la parte reclamada sin obtener respuesta. Tampoco formuló alegaciones al acuerdo de inicio del procedimiento.
Con respecto a la parte de la reclamación en la que señala que no se ha atendido su derecho de supresión, al no presentar prueba del correo electrónico a través del cual dice haber ejercido el mencionado derecho, no puede entenderse como una vulneración de la normativa de protección de datos personales.
Sin embargo en lo que se refiere a la falta de designación de un DPD y comprobado este hecho, la AEPD recuerda lo establecido en el artículo 37 del RGPD:
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o En este sentido, la LOPDGDD determina en su artículo 34.1 y 3: “Designación de un delegado de protección de datos”
1. “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
La infracción se contempla como tal en el artículo 83.4 del RGPD que señala: “Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”
La AEPD a efectos de fijar el importe de la sanción tiene con consideración los siguientes agravantes:
– La naturaleza, gravedad y duración de la infracción.
– Negligencia en la infracción.
– El número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de personas que pueden acceder a sus productos.
Pídenos una valoración sin compromiso para evaluar el estado de tu organización y las necesidades que esta tiene para cumplir con todos los requisitos en materia de protección de datos y de seguridad de la información.
