Primera multa de la AEPD por carecer de Delegado de Protección de Datos.

MULTA-Agencia-Española-de-Protección-de-Datos

La Agencia Española de Protección de Datos (AEPD) a multado por primera vez a una empresa por carecer de Delegado de Protección de Datos (DPD)

El pasado 9 de junio, la AEPD impuso una multa de 25.000 euros a la empresa Glovo por carecer de un Delegado de Protección de Datos (“DPD”). Es la primera sanción en España contra una empresa por este tipo de infracción del RGPD.

Glovo es una empresa española con presencia internacional que se dedica a la compra, recogida y envío de pedidos mediante una aplicación a través de repartidores independientes conocidos como “glovers”.

Infracción:

Consiste en la vulneración del artículo 37 del Reglamento General de Protección de datos, el cual establece la obligación de designar un DPD en determinados escenarios, en  función del tipo de empresa que trate los datos, el tipo de actividad, o el tipo de datos objeto del tratamiento. En el  artículo 34 de la LOPDGDD se especifica con mayor nivel de detalle qué tipo de entidades están  obligadas a nombrar un DPD.

Hechos:

El 21 de mayo y el 4 de noviembre de 2019 se presentaron ante la AEPD dos reclamaciones contra la Empresa por no tener nombrado un DPD.

Inicialmente, la Empresa argumentó que su actividad de tratamiento no se encontraba en los supuestos recogidos en el art. 37 del RGPD ni en el art. 34 de la LOPDGDD, por lo que no estaba obligada a designar un DPD.

Sin perjuicio de ello, la Empresa indicó que pese a no haberlo hecho, el 8 de junio de 2018 creó un Comité de Protección de Datos con las funciones propias de un DPD.

Asimismo, el 23 de mayo de 2019, la Empresa nombró formalmente un DPD, pero no inscribió su nombramiento en el registro de DPD de la AEPD hasta el 31 de enero de 2020, casi tres semanas después de que la AEPD hubiese iniciado un procedimiento sancionador contra ella.

En su resolución, la AEPD estima que la Empresa realizaba un tratamiento de datos a gran escala, conforme a lo recogido en el artículo 37.1.b) del RGPD, por lo que sí era obligatorio nombrar un DPD.

Desafortunadamente, la AEPD desaprovecha la oportunidad de aclarar en este caso los criterios utilizados para determinar lo que considera un tratamiento de datos a gran escala.

¿Qué se considera tratamiento de datos a “gran escala”?

El RGPD no define el concepto de “gran escala”. Las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) del Grupo de Trabajo del Articulo 29 (grupo de trabajo europeo independiente que se ha ocupado de cuestiones relacionadas con la protección de la privacidad y los datos personales hasta el 25 de mayo de 2018) arrojan cierta luz sobre el concepto, enumerando los factores a tener en cuenta a la hora de determinar si un tratamiento de datos se realiza a gran escala:

  1. a) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  2. b) el volumen de datos o la variedad de elementos de datos distintos que se procesan;
  3. c) la duración, o permanencia, de la actividad de tratamiento de datos;
  4. d) el alcance geográfico de la actividad de tratamiento;

¿Ha definido algún estado miembro de la UE el concepto de tratamiento de datos a “gran escala”?

Ha habido algún estado como es el caso de Estonia o la República checa que han definido este concepto en base a distintos umbrales de volumen de interesados y tipos de datos tratados, pero el Comité Europeo de Protección de Datos (CEPD:  organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea)  ha instado a eliminar las cifras explícitas en su lista y haciendo referencia a las definiciones de gran escala que establece el propio RGPD. Quizás esto se deba a que trate de  evitar crear distintas definiciones según cada estado miembro, lo que iría en contra del espíritu armonizador del RGPD.  Contar con distintas definiciones del concepto “gran escala” podría también beneficiar injustamente a las empresas con establecimiento principal en aquellos estados miembros con una definición menos restrictiva de este concepto.

Conclusión:

Con todo lo anterior presente, parece improbable que veamos en España una definición con cifras concretas del concepto “gran escala”, por lo que habrá que prestar atención a futuras sanciones de la AEPD en donde se mencione el concepto, y analizar los datos de la empresa sancionada, para tener una idea más completa de lo que entiende la AEPD por “gran escala”. A título orientativo, la AEPD incluye en su página web una serie de ejemplos que no incluyen  cifras concretas,  de lo que considera actividades de tratamiento de datos a gran escala.