Sancionado un Ayuntamiento por no tener un DPD

Primera sanción a un Ayuntamiento por no designar a un DPD

Contar con un Delegado de Protección de Datos (en adelante DPD) puede ser obligatorio o voluntario, dependiendo de la entidad de la que hablemos, y en atención a lo dispuesto en los artículos 37 del RGPD y 34 de la LOPDGDD.

Como es bien sabido el DPD es una persona física o jurídica, designada por el responsable y el encargado del tratamiento, el cual deberá acreditar conocimientos especializados en derecho y práctica en la materia de protección de datos; actuará como interlocutor entre el responsable y la AEPD; tendrá funciones de inspección y recomendación, no estando sujeto al régimen sancionador, según el artículo 35 y 36. 1 LOPDGDD.

Consultas

En nuestra sede de Valencia han llegado diferentes consultas relacionadas con la obligatoriedad de nombrar a un DPD, así como el perfil del candidato y sus funciones.

Frente a tales dudas en este aspecto, es importante señalar que en junio pasado, la Agencia Española de Protección de Datos ha impuesto recientemente (Resolución de Procedimiento Sancionador Nº PS/00001/2020) una sanción a un Ayuntamiento en la Comunidad Autónoma de Andalucía, a consecuencia de una reclamación interpuesta por un ciudadano que alegó que el consistorio municipal no contaba con la figura del DPD, a pesar de estar obligados por la normativa de protección de datos.

Designación obligatoria de un DPD

El artículo 37 del RGPD determina como obligatorio para el responsable y encargado del tratamiento, el nombramiento del DPD en los siguientes casos:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

La LOPDGDD es mucho más específica en este punto, y en su artículo 34.1 señala como obligatorios los siguientes supuestos:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de estos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

Al margen de estos supuestos legales en donde es obligatorio nombrar a un DPD, la LOPDGDD también contempla la designación voluntaria en el apartado 2 del artículo 34.

Notificación a la AEPD de la designación del DPD

En todos los supuestos, obligatorios y voluntarios, en los que exista una designación y nombramiento de un DPD, se deberá notificar a la AEPD en un plazo máximo de 10 días.

Infracción grave y procedimiento sancionador

El incumplimiento de la obligación de designar un DPD cuando el mismo sea exigible de acuerdo con la norma, es considerado una infracción grave por el artículo 73 v) de la LOPDGDD.

El artículo 77.1 d)  del al LOPDGDD establece el régimen sancionador cuando los responsables o encargados de tratamiento sean  Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

Las sanciones vinculadas a las infracciones graves se establecen en el artículo 83.4 a) del RGPD, en donde la multa administrativa podrá ser de 10 000 00 EUR como máximo, si están relacionadas con infracciones de las obligaciones del responsable y del encargado establecidas en los artículos 8, 11, 25 a 39, 42 y 43.

El caso del Ayuntamiento de Huércal (Almería)

Por primera vez, la AEPD ha sancionado a un Ayuntamiento por no contar con la figura del DPD.

La autoridad de control recibió una reclamación por un ciudadano en la cual se ponía de manifiesto que el Ayuntamiento no contaba con la figura del DPD, siendo una entidad obligada por ley, por ser una autoridad/organismo público, el cual trata datos personales de los ciudadanos, entre los cuales se encontraban datos relacionados con los usuarios de servicios sociales y grupos en estado de vulnerabilidad o en riesgo de exclusión.

La Agencia inició las investigaciones correspondientes, llegando a la conclusión que, a la fecha en la cual se produjeron los hechos y presentada la reclamación, el RGPD ya estaba vigente  y por lo tanto, era  susceptible de exigir su cumplimento; por lo que el Ayuntamiento estaba obligado a nombrar a un DPD y notificar dicho nombramiento a la autoridad de control en un plazo de 10 días, hecho que no se había producido hasta el momento.

Ante tales circunstancias, en junio de este año, la Agencia decidió sancionar al consistorio municipal con un apercibimiento, aplicándole el artículo 83.4 a) del RGPD, obligando al nombramiento del DPD, debiéndolo informar en un mes a contar desde la notificación de la resolución.

Si Usted tiene dudas acerca de la obligatoriedad de contar o no con un DPD en su entidad o conocer los beneficios de contar con un DPD, con Business Adapter aquí

Departamento Jurídico de Business Adapter