Primeras sanciones por no designar DPD

Designar delegado de protección de datos

 

La Agencia Española de Protección de Datos (AEPD) ha decidido actuar contra las organizaciones que no han designado Delegado de Protección de Datos (DPD) a pesar de estar obligadas por ley.  

Glovo ha sido la primera empresa en ser sancionada por este motivo con una multa de 25.000 euros. La AEPD no solo está actuando contra empresas privadas, también lo está haciendo contra Administraciones Públicas, como lo demuestra un apercibimiento emitido contra el Ayuntamiento de Huércal-Overa por no haber designado DPD. Ambas sanciones derivan de denuncias interpuestas por particulares. 

Desde hace más de dos años la figura del DPD es obligatoria en algunas organizaciones y sus características y funciones están definidas en el Reglamento General de Protección de Datos (RGPD). Veamos de forma resumida cuales son y que empresas están obligadas a nombrar un DPD.  

Por una parte, el RGPD establece, en su artículo 37, categorías de organizaciones para las que será obligatoria dicha figura. 

  • Las Autoridades y Organismos Públicos.  
  • Las entidades (responsables o encargados) cuya actividad requiera una observación habitual y sistemática de interesados a gran escala.  
  • Las entidades (responsables o encargados) cuya actividad principal consista en el tratamiento a gran escala de datos considerados de especial protección.  

La norma española, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) concreta, en su artículo 34, quien debe designar DPD además de aquellas que cumplan los requisitos recogidos en el RGPD. Entre otras señala: 

  • Los colegios profesionales. 
  • Los centros docentes, así como las Universidades públicas y privadas. 
  • Los establecimientos financieros de crédito. 
  • Las entidades aseguradoras y reaseguradoras. 
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. 
  • Las entidades que desarrollen actividades de publicidad y prospección comercial cuando implique la elaboración de perfiles. 
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. 
  • Las empresas de seguridad privada. 
  • Las federaciones deportivas cuando traten datos de menores de edad. 

No obstante, lo más relevante son las características que debe reunir la figura del DPDEl RGPD establece que será nombrado “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como a su capacidad para desempeñar sus funciones”.  

Además, las organizaciones deben garantizar la independencia del delegado de protección de datos quien no podrá recibir ninguna instrucción respecto al desempeño de sus funciones rindiendo cuentas directamente al más alto nivel jerárquico.  

Esto implicaría que en el futuro podrían producirse más sanciones relacionadas con los DPD por dos motivos distintos.  

  1. Por la falta de aptitud de las personas seleccionadas para desempeñar el cargo.  
  2. Por la efectividad de independencia del DPD ya que, si el profesional forma parte de la plantilla de la empresa, puede llegar a actuar como juez y parte.  

Afortunadamente, el RGPD contempla la posibilidad de contratar este servicio con una empresa especializada. Así lo establece en su artículo 37.6: “el delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”.  

En mi opinión es la mejor manera de evitar posibles conflictos de intereses (y por tanto motivos de sanción) además de ser la única vía para que las pymes puedan cumplir con esta obligación ya que la mayoría, por sus dimensionesno cuentan con personal que cumpla estos requisitos.  

Desde Legitec prestamos el servicio de delegado de protección de datos garantizando la idoneidad de la figura y la independencia de la misma. Puedes plantearnos cualquier duda que tengas al respecto a través de nuestra web.  

Autor: E. Carmona 

  

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PROTECCIÓN DE DATOS CÓRDOBA - GRUPO LEGITEC moderará sus comentarios. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico cordoba@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.