NO NOMBRAR UN DELEGADO DE PROTECCIÓN DE DATOS EN TU ENTIDAD PUEDE SALIR CARO. SANCIÓN DE 25.000€

Atendiendo a la normativa en materia de protección de datos, existen una serie de personas jurídicas que han de designar por obligación legal la figura del Delegado de Protección de Datos (DPD), dicha obligatoriedad viene recogida en las distintas normas en la materia;

• A nivel europeo Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), artículo 37.
• A nivel España: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)artículo 34.

Una vez sentadas las bases normativas del presente artículo, vamos a proceder a explicar los motivos de la sanción a una cadena de comida rápida, los cuales encontramos en detalle en el PS/00140/2022 de la Agencia Española de Protección de Datos (AEPD);

Todo el proceso se inició cuando una clienta interpuso la reclamación ante la AEPD al detectar ciertas irregularidades en la página web de la cadena de comida rápida, en dicha reclamación la consumidora manifestaba que el restaurante no seguía las directrices del Reglamento General de Protección de Datos (RGPD), por los siguientes motivos;

• No se podía acceder de forma sencilla a la política de privacidad, encontrándose el enlace situado en la parte inferior y redireccionando a la información estadounidense y no a la europea.

• En la política de privacidad: (a) no se detallan los destinatarios de la información personal (b) no aparecen detallados los datos del responsable en materia de protección de datos (razón social, NIF, domicilio social); (c) se detalla la posibilidad de hacer transferencias internacionales de datos, y no se informa al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables. Solo se usan fórmulas genéricas como garantías adecuadas. Tampoco se explica el procedimiento para obtener una copia de estas o de que se prestaron; (d) no se detalla el tiempo de conservación de los datos, se utilizan fórmulas genéricas como «durante el tiempo necesario»

• Además, añade que al crear una cuenta en el sitio web, la página sólo permitía registrarse marcando la casilla de “recibir ofertas especiales y promociones”. 

En lo relativo a la falta de transparencia en la información suministrada en la política de privacidad, la AEPD ha considerado que se está incumpliendo el artículo 13 RGPD, por los siguientes motivos:

• Destinatarios: A este respecto, el RGPD en su artículo 13.1 e) indica que el responsable del tratamiento deberá informar de los destinatarios o las categorías de destinatarios de los datos personales, en su caso. Del mismo modo, la propia AEPD en su Guía para el cumplimiento del deber de informar en su epígrafe 7.4 Destinatarios, indica lo siguiente: “Cuando se haya previsto ceder o comunicar, legítimamente, los datos personales que se recogen se informarán acerca de la identidad de los destinatarios, si están claramente predeterminados, o de las categorías de destinatarios, si estos no están determinados previamente.” Lo cual no realiza la entidad reclamada.

• Transferencias Internacionales: Se detalla la posibilidad de hacer transferencias internacionales de datos, pero no se informa al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.

• Tiempo de conservación de los datos: No se detalla el tiempo de conservación de los datos, indicando el RGPD en su artículo 13.1 a) que el responsable del tratamiento deberá informar del plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.

En el presente caso, debemos tener en cuenta además que, en la política de privacidad de la página web de la entidad reclamada no se ofrece información precisa sobre los fines del tratamiento de datos, al utilizar expresiones indefinidas como “podemos utilizar…”, sin que el reclamado haya acreditado el motivo por el cual se hizo necesario el empleo de las mismas, tal y como requieren las Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679 del GT29, revisadas por última vez y adoptadas el 11 de abril de 2018, y donde se estable lo siguiente:

“13. Debe evitarse el uso de calificativos del tipo «puede», «podría», «algunos», «frecuentemente» y «posible». Cuando los responsables del tratamiento opten por utilizar un lenguaje indefinido, deben poder demostrar, con arreglo al principio de responsabilidad proactiva, por qué no se pudo evitar emplear este lenguaje y por qué no socava la lealtad del tratamiento. (…)

Asimismo, es importante destacar, que durante el periodo de investigación la AEPD detectó que la entidad no contaba con la figura de Delegado de Protección de Datos que debería de tener designada en virtud del Artículo 37 RGPD, indicando literalmente la autoridad de control;

“No se ha nombrado a un Delegado de Protección de Datos habida cuenta que la entidad desarrolla actividades de publicidad y prospección comercial y lleva a cabo tratamientos basados en las preferencias de las personas afectadas o realizan actividades que implican la elaboración de perfiles de las mismas”

Tras la reclamación, la AEPD dio un plazo de un mes a la entidad para realizar sus alegaciones, a lo cual la reclamada contestó:

En lo relativo a que no se podía acceder de forma sencilla, destacaron que la web facilita información de protección de datos en dos capas, la primera en “privacidad” y la segunda en “multimarcas” y que en la segunda es donde aparece la información específica para los europeos. Asimismo, indicaron que corregirán el error de situar el link de la política de privacidad en la parte superior de la web en vez de en la inferior. 

En cuanto a la imposibilidad de crear una cuenta si no se aceptaba el envío de ofertas, relataron que hubo un error en la configuración del formulario, porque sí que existía esa posibilidad.

A lo indicado por la APED sobre la necesidad de nombramiento de DPD la entidad propuesta para sanción alegó que entienden que no están obligados a cumplir con el nombramiento de DPD por lo siguiente:

1. Su actividad principal no es el tratamiento de datos de usuarios de la web, sino la de prestar servicios de restauración, pues los pedidos realizados a través de la web se tratan como una actividad auxiliar a la principal, requiriendo el tratamiento de datos de usuarios y clientes para facturación y entrega de pedidos.

• La gestión y facturación de los pedidos realizados a instancia de los clientes y usuarios a través de la página web, se considera por la parte reclamada que no entra dentro de lo considerado por los criterios marcados como observación habitual y sistemática de interesados.

• Además, resalta que el número total de usuarios registrados en la web a nivel nacional no excede de 20.000 y se limita a los clientes y usuarios dentro del territorio español. Por lo que se entiende que no se tratan datos a gran escala.

Para dilucidar el asunto nuestra autoridad de control (AEPD), manifiesta que se ha de tener en cuenta lo establecido en el 37.1.b) del RGPD, donde se deben examinar tres elementos:

1. Actividad principal, puede considerarse como las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento, pero no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento. En el caso de la entidad reclamada a pesar de que la actividad principal de la entidad sea la restauración, también trata datos de carácter personal, haciendo símil con un hospital, el cual tiene como actividad principal la salud de los pacientes, pero trata datos especialmente protegidos para la prestación de su servicio principal. Por tanto, el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales deben, en consecuencia, designar un DPD, ya que no tener DPD cuando es obligatorio “es un riesgo para la protección de datos de carácter personal y para la ciudadanía”.

•  La observancia habitual y sistemática, en este sentido, el Grupo de Trabajo del artículo 29 interpreta “habitual” con uno o más de los siguientes significados:

1. continuado o que se produce a intervalos concretos durante un periodo concreto;
2. recurrente o repetido en momentos prefijados o que tiene lugar de manera constante o periódica.

Además, interpreta “sistemático” con uno o más de los siguientes significados:

1. que se produce de acuerdo con un sistema;
2. preestablecido, organizado o metódico;
3. que tiene lugar como parte de un plan general de recogida de datos;
4. llevado a cabo como parte de una estrategia.

En el caso de la entidad reclamada la AEPD considera que cumple con el criterio de habitual y conforme a un plan de recogida de datos para obtener datos de los clientes e incrementar su área de negocio. Sólo hay que echar un vistazo a su política de privacidad, en la que muestran que recogen datos de todo tipo, incluyendo la dirección IP (un punto clave de localización), el historial de navegación y las preferencias del usuario, datos derivados de las cookies entre las que existen algunas de seguimiento, datos de geolocalización o datos de facturación, entre otros. Y los recogen de manera habitual, pues los precisan para prestar sus servicios y para mejorar el rendimiento de su negocio.

• Gran escala, según el Grupo de Trabajo del artículo 29 un tratamiento a gran escala supone tratar una cantidad considerable de datos personales (todos los citados en su política de privacidad) en un determinado ámbito territorial (en este caso a nivel nacional); afectando a múltiples interesados (se trata de una app de amplia implantación y con un gran número de interesados); también si pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización). Examinados los parámetros explicitados por la AEPD, la entidad reclamada, obviamente realiza un tratamiento de datos a gran escala.

En base a lo expuesto, nuestra autoridad de control sanciona a la entidad reclamada por considerar los siguientes incumplimientos del RGPD;

• Imponer a la entidad con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la infracción del artículo 37 del RGPD, por la falta de nombramiento de un Delegado de Protección de Datos, una sanción de 20.000 euros (veinte mil euros).

• Imponer a la entidad, con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la infracción del artículo 13 del RGPD, considerada como una infracción leve, por la falta de información suministrada en la “Política de Privacidad” sobre el tratamiento de los datos personales obtenidos, con una sanción de 5.000 euros (cinco mil euros).

En vistas de todo lo anterior, se puede comprobar que el hecho de ser un sujeto obligado por el articulado de la normativa en materia de protección de datos a contar con una figura de Delegado de Protección de Datos (DPD) en tu entidad y no cumplirlo puede acarrear una sanción por parte de la autoridad de control, por lo que hemos de asegurarnos de si somos o no sujetos obligados de cumplimiento para así evitar tener que pagar cuantías económicas como la que hemos visto en el presente artículo.

Si quieres conocer más información sobre sanciones por no tener nombrado un DPD, puedes leer otro de nuestros artículos al respecto pinchando aquí.