Primera sanción a una empresa por no tener nombrado un delegado de protección de datos

La Agencia Española de Protección de Datos (AEPD), en el Procedimiento n.º PS/00417/2019 ha impuesto la primera sanción en España a una empresa por carecer de un Delegado de Protección de Datos (DPD).

Frente a la reclamación, iniciada a instancia de dos particulares, la mercantil se defendió alegando, en síntesis, que su actividad de tratamiento de datos personales estaba exenta de las obligaciones establecidas en los artículos 37 RGPD y 34 LOPGDD, y, por tanto, no tenía la obligación de designar un Delegado de Protección de Datos. Asimismo, manifestó que las funciones propias de un Delegado de Protección de Datos las realizaba un Comité constituido dentro de la empresa. Sin embargo, ya iniciado el procedimiento sancionador, procedió a comunicar a la AEPD el nombramiento de un Delegado de Protección de Datos.

El artículo 37 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), dispone que:

“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  1. b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,”

En este sentido, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) determina en su artículo 34.1 y 3 que:

  1. “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679
  2. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.”

La AEPD dictaminó que la mercantil reclamada realizaba un tratamiento de datos personales a gran escala y que la falta de designación de DPD vulneraba los ya citados artículos 37.1b) del RGPD en relación con el artículo 34 de la LOPDGDD, por lo que estima que existe una infracción grave y en virtud de lo dispuesto en los artículos 83.7 y 58.2 del RGPD y 73 de la LOPDDG le impone una multa de 25.000,00 € (VEINTICINCO MIL EUROS).

Dada la cuantía de estas multas, ciertamente gravosas, quedamos a su disposición para analizar si su actividad está dentro de las que exigen el nombramiento de un DPO y aconsejarle la mejor estrategia legal.

Puede consultar la resolución del Procedimiento n.º PS/00417/2019 pulsando aquí.

Menú

Si continúa navegando está dando su consentimiento para la aceptación de las cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies
Call Now Button