Nueva sanción a un Ayuntamiento por no tener DPD

Sanciones

La Agencia española de protección de datos (AEPD) impone una sanción al Ayuntamiento de San Fernando de Henares por no haber designado un Delegado de protección de datos (DPD / DPO).

Y ya van tres los Ayuntamientos sancionados en Madrid.

La primera sanción impuesta a un Ayuntamiento, por este motivo, fue en el mes de junio de 2020 al Ayuntamiento de Huercal de Almería.

Las sanciones se suceden y ahora la AEPD exige al Ayuntamiento de San Fernando de Henares, acreditar en el plazo de 1 mes que ha realizado dicha designación y se ha comunicado al Registro de Delegados de protección de datos.

Obligación de designar un DPD

La base legal de la sanción deriva del Reglamento General de Protección de Datos (UE) 679/2016 conocido como RGPD, concretamente en su artículo 37.1, determina que el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

“a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial”

El mismo artículo incluye otros supuestos:

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

No hay que olvidar que la Ley Orgánica de Protección de Datos Personales y garantías de los derechos digitales (LOPD-GDD) 3/2018, en su artículo 34 incluye las actividades profesionales que obliga designar un delegado de protección de datos (centros docentes o sanitarios, comercializadores o distribuidores de energía o gas natural, los sujetos obligados a la Ley de prevención de blanqueo de capitales, seguridad privada, federaciones deportivas con datos de menores, colegios profesionales, etc.) y que dicho nombramiento se debe comunicar a la AEPD en un plazo de 10 días en el Registro de DPD.

No obstante, cualquier entidad no incluida en estos supuestos, podrá designar de manera voluntaria un DPD.

¿Quién puede ser DPD?

El delegado de protección de datos (DPD) será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD.

El delegado de protección de datos podrá ser persona física o jurídica formar parte de la plantilla o desempeñar sus funciones en el marco de un contrato de servicios, así como una dedicación completa o a tiempo parcial, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.

DPD en Valencia

Business Adapter® podrá ser su Delegado de protección de datos en Valencia* asumiendo todas las funciones establecidas en el artículo 38 y 39 del RGPD.

*ofrecemos también cobertura nacional