Organizaciones sin delegado de protección de datos, en el punto de mira de la AEPD
El organismo sanciona con 25.000 euros a Glovo y dicta un apercibimiento contra un ayuntamiento de Almería por saltarse la normativa
Se acabaron las excusas. La Agencia Española de Protección de Datos (AEPD) ha empezado actuar de manera decidida contra las organizaciones que siguen sin contar con un delegado de protección de datos (DPD), a pesar de estar obligadas por ley desde hace más de dos años. La primera empresa en ser sancionada por este motivo ha sido la plataforma de envíos a domicilio Glovo, que tendrá que pagar una multa de 25.000 euros.
El expediente sancionador contra la app se inició con una denuncia que presentaron dos particulares en mayo y en noviembre de 2019. La Agencia constató que la firma no había designado a un delegado de protección de datos, aunque sí había creado un comité que ejercía sus funciones desde junio de 2018. Durante la investigación, la plataforma intentó defenderse precisamente bajo el argumento de que los derechos de sus clientes «siempre han estado plenamente protegidos», pero el organismo de control finalmente ha optado por imponerle una sanción al entender que la propia dinámica de la actividad implica un tratamiento de datos personales «a gran escala»
Tratamiento de datos a gran escala
Como indica Sonia Martín, abogada experta en nuevas tecnologías de Secure&IT, efectivamente el reglamento general de protección de datos (RGPD) establece la obligatoriedad de designar a un DPD cuando se manejan perfiles de manera masiva. El problema, según explica, es que «esa misma normativa no indica un número de usuarios a partir del cual se considera que existe un tratamiento a gran escala».
El también abogado Marcos Judel, socio de Audens, reconoce que hay ocasiones en las que la ley deja muy clara la necesidad de contar con un DPD (como ocurre con los centros médicos o las agencias de marketing online) y otras en las que existe cierto margen de interpretación. Desde su punto de vista, no obstante, «parece lógico que una compañía que opera por internet, segmentando miles de perfiles cada día, sea sancionada por no tener un responsable que vele por la privacidad de los usuarios y pueda atender sus quejas directamente».
Con esta sanción España sigue los pasos de otros países europeos en los que ya se han dictado resoluciones parecidas. Sin ir más lejos, a principios de diciembre de 2019 la Comisión de Protección de Datos de Hamburgo impuso una multa de 51.000 euros a Facebook por no contar con un DPO en Alemania. Las autoridades de Bélgica, por su parte, sancionaron a la empresa Proximus con 50.000 por esta misma razón.
La AEPD también ha puesto el punto de mira en las administraciones públicas. De hecho, el organismo ha emitido un apercibimiento contra el Ayuntamiento de Huércal Olvera, en Almería, por no haber designado a un delegado que velara por los datos de los vecinos de la localidad. Marcos Judel afirma que en este caso no hay ninguna duda de que se estaba cometiendo una infracción, ya que todo organismo público por definición maneja datos sensibles y está obligado por ley a contar con una persona encargada de custodiarlos. Aun así, «el consistorio no será sancionado debido a que las administraciones no pueden multarse a sí mismas».
Otras posibles infracciones
Los expertos consultados señalan que en el futuro podrían producirse más sanciones relacionadas con los DPD, por motivos distintos. Uno de ellos podría ser la falta de aptitud de las personas seleccionadas para desempeñar el cargo. Se requiere formación jurídica, experiencia en protección de datos y disponer de una información muy precisa de los diferentes procesos que tienen lugar en la organización, matiza Judel.
Otro elemento a tener en cuenta es la independencia del DPD. Sonia Martin subraya que esta figura fue ideada para supervisar las políticas de privacidad de las organizaciones y defender a los usuarios, pero hay ocasiones en las que el profesional está tan integrado dentro de la empresa que puede llegar a actuar como juez y parte. La letrada opina que la mejor manera de evitar posibles conflictos de intereses (y por tanto motivos de sanción) es que las compañías, sobre todo las pymes, externalicen el servicio o se apoyen en otras empresas especializadas en el sector de la protección de datos. «Sin duda es la mejor manera de que no haya injerencias», concluye.
Fuente: Cinco Días