La AEPD vuelve a sancionar por no tener nombrado a un DPD.

25/11/2021
Escrito por Ana Maria Paniagua Alario
Delegado de Protección de Datos

 ¿Aún no has designado a un delegado de protección de datos? ¿En que supuestos es obligatoria su designación? Si estoy obligado, ¿qué pasos tengo que seguir para su designación?

A día de hoy son muchas las entidades que siguen sin tener designado un delegado de protección de datos bien por desconocimiento o bien porque no tienen claro si se encuentran dentro de los supuestos en que es obligatoria su designación. Es por ello por lo que la Agencia Española de Protección de datos (en adelante la AEPD), poniendo de nuevo el foco en la importancia de la designación de esta figura, ha vuelto a sancionar por vulneración del artículo 37. 1 b) del RGPD en relación con el artículo 34.1 n) de la LOPDGDD, pero en esta ocasión a una empresa dedicada a los juegos on line con una sanción de 10.000 €. Puedes consultar a estos efectos un artículo anterior de nuestro Blog en el que analizábamos dos resoluciones de la AEPD fallando en el mismo sentido.

Los motivos en que se basa la reclamación y que hoy traemos a colación son que no se ha atendido su derecho de supresión en el plazo legalmente establecido y que no tiene nombrado un Delegado de Protección de Datos (en adelante, DPD). En este contexto, la Subdirección General de Inspección de Datos comprobó que en la lista de Delegados de Protección de Datos de la AEPD no consta registrado el de la reclamada, a pesar de que en la Política de Privacidad de su página web se hace referencia al Delegado de Protección de Datos y un email de contacto. 

El reclamado ante los hechos expuestos no presentó alegaciones ni pruebas que contradijesen los hechos denunciados y por tanto la Agencia dictó resolución sancionadora por infracción grave (artículo 73 LOPDGDD), fijando el importe de la sanción en base a los siguientes criterios agravantes del artículo 83.2 RGPD:

  • La naturaleza, gravedad y duración de la infracción. Continúa sin comunicar a la AEPD la designación de DPD. (a pesar de que la AEPD le dio un mes para comunicar su designación.)
  • Su conducta pone de manifiesto una grave falta de diligencia.
  • El número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de personas que pueden acceder a sus productos.
  • La forma en que la autoridad de control tuvo conocimiento de la infracción. A través de la interposición de la denuncia por parte de la reclamante.

En este punto es importante diferenciar entre el incumplimiento de la obligación de designar un DPD, cuando sea exigible su nombramiento, constituyendo dicho incumplimiento una infracción grave (art. 73 LOPDGDD) de la no publicación de los datos de contacto del DPD, o su no comunicación a la autoridad de control cuando su nombramiento sea exigible, siendo constitutivo de una infracción leve (art. 74 LOPDGDD).

¿Entonces en que supuestos estoy obligado a nombrar un Delegado de Protección de Datos y evitar así ser sancionado?

 Aunque ya dimos respuesta a estas y otras cuestiones sobre esta figura en anteriores entradas en nuestro Blog, puedes consultar las mismas aquí, aquí y aquí, es importante para situarnos en el supuesto concreto que ahora analizamos, que repasemos las dos referencias normativas aplicables para determinar o no la obligatoriedad en cuanto al nombramiento de un DPD, atendiendo a que el presente supuesto hablamos de entidades que destinan su actividad principal a los juegos “on line”.

Primeramente, debemos acudir al artículo 37 del RGPD, que establece lo siguiente:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

En este punto y puesto que el RGPD no define que debemos entender por Observación habitual y sistemática de interesados a gran escala, nuestra propia Autoridad de Control volviendo a su apartado de preguntas frecuentes nos da algunas orientaciones y proporciona ejemplos claros de actividades que pueden constituir una observación habitual y sistemática y a gran escala.

En este sentido citamos a modo ejemplarizante algunos de ellos:

1.-De actividades que pueden constituir una observación habitual y sistemática de interesados son:

  1. Operar una red de telecomunicaciones.
  2. Redireccionar correos electrónicos.
  3. Actividades de mercadotecnia basadas en datos.
  4. Elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos.
  5. Llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles.
  6. Seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles.
  7.  Televisión de circuito cerrado.
  8. Dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.

2.- De los tratamientos a gran escala cabe citar:

  1. El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital.
  2. El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte).
  3. El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios.
  4. El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco.
  5. El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda.
  6. El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

En segundo lugar, la LOPDGDD determina en su artículo 34.1 y 3:

Designación de un delegado de protección de datos”

1. “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

 n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria”

Así, de los dos preceptos normativos referenciados se desprende claramente que se trata de una entidad que, por su actividad de juegos online, se encuentra dentro de los supuestos en los que es de obligado cumplimiento la exigencia de designar un DPD:

  1. Tanto por el tipo de tratamiento que se lleva a cabo: Si existe una observación habitual y sistemática de interesados a gran escala.
  2. Como por ser una entidad claramente identificada como obligada: “Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego”.

¿Cómo debemos proceder a su nombramiento ante la AEPD?

Una vez que hemos determinado que es obligatoria la designación de esta figura, el siguiente paso es su nombramiento. Ni el RGPD ni la LOPDGDD hace referencia alguna a cómo debemos proceder para su nombramiento.  En el presente caso, la propia entidad señalo en la política de privacidad de su página web que contaba con la figura del DPD, estableciendo un correo electrónico de contacto, pero no aportó pruebas acerca de su nombramiento que contradigan los hechos denunciados.

Una vez que se ha procedido a designar un DPD formalmente por parte de la entidad, atendiendo en todo caso a su cualidades profesionales y, en particular, del conocimiento experto de la legislación y las prácticas de protección de datos deberemos acudir la sede electrónica de la AEPD para comunicar el mismo en el plazo de diez días (art. 34.3 LOPDGDD). En este sentido la AEPD dispone de un formulario web de comunicación del Delegado de Protección de Datos compuesto por varias pantallas, que permite la comunicación de altas de Delegados de Protección de Datos, así como la modificación o supresión de los datos de Delegados de Protección de Datos ya inscritos.

Para terminar como reflexión final insistir en la enorme importancia de contar con un adecuado asesoramiento en materia de protección de datos a la hora de interpretar en que supuestos somos sujetos obligados a la designación de esta figura especialmente en aquellos casos en los que no se deduce claramente del tenor literal de la normativa de referencia. Además, debemos recordar que en aquellos supuestos en los que optemos por su designación voluntaria, resultará de aplicación automática un «atenuante» ante posibles infracciones en protección de datos (art. 76.2 g LOPDGDD en relación con el art. 83.2 k RGPD).