Delegado de protección de datos

La Agencia Española de Protección de Datos (AEPD) ha multado a la empresa Glovo con 25.000 euros por no haber nombrado un delegado de protección de datos (DPD). Es la primera multa por este motivo en España.

 

Esta sanción deriva de una denuncia de dos particulares contra Glovo en julio de 2019. En ese momento, la empresa tenía un comité de protección de datos, que realizaba las labores de cumplimiento con dicha normativa y, tras la denuncia, nombró un delegado de protección de datos (DPD), pero ya era tarde para evitar la sanción.

Pero, ¿qué empresas han de nombrar un delegado de protección de datos?

Es una pregunta que no es fácil de responder. Hay algunos casos muy claros porque el artículo 34 de la LOPD de 2018 establece un listado de hasta 16 tipos de entidades que tienen obligación de nombrarlo, entre otras:

  • Colegios profesionales.
  • Centros docentes y universidades.
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
  • Entidades bancarias.
  • Empresas distribuidoras y comercializadoras de energía eléctrica gas.
  • Centro sanitarios.
  • Empresas de seguridad privada…

Pero, en otros casos, el RGPD es mucho más “difuso” ya que dice que tienen que nombrar un DPD:

  • Las autoridades u organismos públicos, excepto los tribunales.
  • Las entidades cuyas actividades principales consistan en la observación habitual y sistemática de interesados a gran escala.
  • Las entidades cuyas actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales (salud, afiliación sindical, religión, vida sexual…) y de datos relativos a condenas e infracciones penales.

Aquí se complica la cuestión porque conceptos como “actividad principal”, “observación habitual y sistemática”, o “gran escala” son interpretables, aunque la interpretación de esos conceptos la hace precisamente la AEPD.

 

Y eso es, precisamente, lo que le ha pasado a Glovo. Esta empresa interpretó que no necesitaba nombrar un delegado de protección de datos y, sin embargo, la AEPD ha interpretado que SÍ lo tenía que nombrar -la AEPD señala que la app de Glovo trata datos personales a gran escala incluyendo la geolocalización de los usuarios- y, por eso, ha sancionado a la compañía.

Además, nombrar un delegado de protección de datos (DPD) voluntariamente tiene ventajas interesantes:

  • La AEPD, antes de abrir un procedimiento por vulneración de la normativa de protección de datos, si hay designado un DPD, puede remitir la reclamación a éste para que se intente solucionar la cuestión internamente y, sólo si no se resuelve, se abrirá expediente administrativo. Con ello, se pude limitar el riesgo de sanción.
  • El nombramiento voluntario de un DPD se puede tener en cuenta para la graduación de la sanción, conforme al art. 76.2.g) de la LOPD y al artículo 83.2.k) del RGPD, con lo que una hipotética sanción se vería rebajada.
  • El DPD orienta a la organización al cumplimiento normativo sobre protección de datos que cada vez es más complejo y técnico, para reducir:
    • El riesgo legal sancionador.
    • Los riesgos legales indemnizatorios.
    • Los riesgos de imagen o reputacionales en materia de protección de datos que puedan afectar a los ingresos de la organización.
  • El DPD es un factor de imagen positiva que crea confianza como medida preventiva para garantizar un tratamiento de datos conforme a la normativa.
  • En caso de duda sobre si una empresa tiene obligación o no de nombrar un delegado de protección de datos en aquellos supuestos en los que no sea muy claro, es mejor tenerlo nombrado y que no pase lo que le ha pasado a Glovo.

En Vadillo Asesores, contamos con dos delegados de protección de datos certificados por la Entidad Nacional de Certificación (ENAC) y la Agencia de Protección de Datos.

 
Delegados de protección de datos externos de Vadillo Asesores

Además, somos DPDs externos de más de 20 organizaciones de muy distintos sectores (ámbito educativo, sanitario, industrial, tercer sector, religioso, sector público…) por lo que podemos asesorarle sobre si su empresa o entidad tiene o no que nombrar un delegado de protección de datos y si, no siendo obligatorio, le convendría hacerlo o no.

Si quiere que le ayudemos al respecto, no dude en consultarnos en el teléfono 945 222 762 (preguntar por Luis Jorquera) o enviarnos un email a ljorquera@grupovadillo.com.

Comparte este artículo:

Únete a la lista de correo para no perderte nada