La Agencia Española de Protección de Datos – AEPD – ha hecho públicas esta semana dos resoluciones que suponen un antes y un después en la figura del Delegado de Protección de Datos (DPD), y es que, si el pasado lunes se conocía la sanción, por primera vez desde la directa aplicación del Reglamento Europeo de Protección de Datos (RGPD), a una entidad pública por no haber designado y notificado debidamente ante a la AEPD a su DPD, tan sólo dos días más tarde, se conoció la imposición de otra sanción, por el mismo motivo, a una entidad privada.
No contar con un Delegado de Protección de Datos en las empresas obligadas a ello o en la administración pública que sí o sí tiene que tenerlo, supone una infracción tipificada como grave en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que podría alcanzar multas de miles de euros. Si bien, las consecuencias en uno y otro caso son diferentes pues, mientras al Ayuntamiento de Huércal, únicamente, se le ha apercibido y se le ha requerido el nombramiento de dicha figura, a Glovo, empresa privada, se le ha impuesto una multa de 25.000€.
En cualquier caso, esta iniciativa de la AEPD no es pionera en comparación con otras autoridades de control europeas, ya que, en países como Bélgica, Alemania y Austria se han sancionado a diversas compañías por el mismo incumplimiento. Asimismo, en el entorno europeo, también se han sancionado otros hechos relacionados con esta figura, tales como, la limitación de las funciones del DPD en cuanto a su participación en la gestión de las brechas de seguridad o, por incurrir en conflicto de intereses, al nombrar como DPD a la misma persona que ocupa el cargo de responsable de compliance y auditoría interna. Del mismo modo, y pese haber nombrado un DPD para todas las empresas del grupo ubicadas en la Unión Europea, Facebook Germany GmbH fue multada con 51.000€ por no notificar esta designación a la autoridad de control competente de esta filial.
Así las cosas, ¿tengo la obligación de tener un DPD en mi empresa?
El RGPD establece la obligación de designación de un DPD en la empresa siempre que las actividades principales consistan en:
- Operaciones de tratamiento que, en razón a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o/y,
- en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales.
Asimismo, la LOPDGDD establece la obligatoriedad de contar con esta figura a ciertas entidades atendiendo al tipo de actividad que desarrollan, concretamente:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades de crédito, esto es, los bancos; las cajas de ahorros; las cooperativas de crédito y el Instituto de Crédito Oficial.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
En todo caso, es importante que toda organización analice y documente si está obligada o no a nombrar un Delegado de Protección de Datos.
Y si pertenezco al Sector Público ¿tengo la obligación de tener un DPD?
Sí, según el RGPD cuando el tratamiento de datos lo realiza o lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial, deben tener obligatoriamente designado y, correctamente notificado, un Delegado de Protección de Datos.
Entonces, si no estoy obligado ¿puedo nombrarlo voluntariamente? ¿implica algún tipo de ventaja?
Aunque la entidad no esté obligada a contar con un DPD, es altamente recomendable su designación y nombramiento de manera voluntaria, como medida de diligencia adicional y de responsabilidad proactiva por parte de dicha entidad, ya que es una medida que demuestra cumplimiento de la normativa protectora de datos de carácter personal y que podrá ser considerado como criterio de graduación de las sanciones que pudiera imponer la AEPD. Del mismo modo, tiene importantes ventajas ya que se configura como punto de control acreditado frente a la AEPD, así como frente a los clientes o/y usuarios.
¿Cómo te podemos ayudar?
La AEPD ha optado por promover un Esquema de Certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado, en este sentido, el equipo de Tecnología, Innovación y Economía Digital de Ceca Magán cuenta con tal Certificación, lo que acredita la cualificación y capacidad profesional como DPD, prestando el servicio de forma externalizada y garantizando conocimientos especializados en la materia.
Mireia Paricio e Ingrid González
Área de Tecnología, Innovación y Economía Digital
Añadir nuevo comentario