¿No nombraste DPO siendo entidad obligada? Tercera multa de la AEPD al respecto
En los últimos días, hemos asistido a la tercera multa impuesta por la Agencia Española de Protección de Datos (en adelante, AEPD), a una entidad que no designó delegado de Protección de Datos (en adelante DPO, por sus siglas en inglés), a pesar de ser sujeto obligado.
La AEPD, tal y como describiremos en las siguientes líneas, concluye que la organización (un operador de juegos online), se encontraba tanto dentro de los supuestos de obligado nombramiento regulados por el Reglamento General de Protección de Datos (en adelante, RGPD), como dentro del listado de entidades obligadas conforme a nuestra legislación (la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, en adelante LOPDGDD). Por todo ello, la AEPD resuelve imponiendo una sanción de 10.000 euros al operador de juego.
Consideraciones previas
Se trata de la tercera sanción pecuniaria impuesta por la AEPD a un responsable de tratamiento por el incumplimiento de esta obligación, tras los casos previos de GlovoApp (empresa de envíos a domicilio sancionada con 25.000 €), y Conseguridad (empresa de seguridad privada sancionada con 50.000 euros).
Ha de destacarse que nuestra normativa considera infracción grave no designar un DPO cuando sea exigible su nombramiento de acuerdo con el RGPD y a la LOPDGDD.
Resolución de la AEPD
El origen de la sanción se encuentra en una reclamación interpuesta por un interesado, en la que alegaba la falta de atención al derecho de supresión ejercido y que la organización no tuviera un DPD, al que dirigir las reclamaciones.
La AEPD, constató que a pesar de que en la política de privacidad se hacía mención a la existencia de DPO; el mimo no constaba como registrado ante la autoridad de control. Respecto, a la falta de atención del derecho de supresión, la AEPD, no entra a valorar el hecho, ya que el reclamante no presentó copia del correo en el cual ejercía el citado derecho.
La organización reclamada, tal y como señala la AEPD, es un sujeto obligado a nombramiento de DPO conforme al 37. 1 b) del RGPD, el cual estipula:
“b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”
Asimismo, se indica en la resolución que se encuentra dentro de lista de entidades obligadas, conforme al artículo 34.1 n) de la LOPDGG:
“n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.”
La AEPD a efectos de determinar la sanción a imponer tiene en cuenta los siguientes criterios agravantes (de acuerdo con el artículo 83. 2 del RGPD):
- La actitud negligente de la organización al no nombrar el DPO.
- La forma en que conoció la AEPD la infracción: a través de una denuncia.
- El número de interesados afectados, teniendo en cuenta que se está realizando un tratamiento a gran escala, por el número de usuarios que podrían acceder a sus productos.
Conclusiones
Las organizaciones han de ser conscientes de si se encuentran dentro de los supuestos obligatorios de nombramiento, en aras a evitar potenciales sanciones.
En caso de no ser una entidad obligada, el nombramiento de DPO, puede servir a la organización como medida de responsabilidad proactiva; medida que en caso de potencial sanción es tenida en cuenta como atenuante de la misma por parte de la AEPD.
Por otro lado, han de asegurarse de que no exista conflicto de intereses, y que el mismo, pueda ejercer sus funciones con total independencia. En este sentido, ya existen sanciones a nivel europeo, como la impuesta por la autoridad de control de Bélgica (la “DPA”), contra una compañía por nombrar DPO interno al “Jefe de Compliance, Gestión de Riegos y Auditoría Interna”, el cual, al ser jefe de varios departamentos podría determinar la finalidad y medios de tratamiento llevado a cabo por los mismos, afectando de esta forma a la independencia en el desempeño de sus funciones.
Carlos Cuesta Hernandez. Senior Privacy Counsel, Legal Army.