ABOGACÍALEGALTECHLEXGOAPPNUEVAS TECNOLOGÍASPROTECCIÓN DE DATOS

Empresas e instituciones apuestan por la figura del Delegado de Protección de Datos  (DPD) para esquivar las multas de la AEPD 

By 2nd mayo 2022 No Comments

Se acabó la tregua y la Agencia de Protección de Datos (AEPD) sigue la estela de sus homólogos europeos e incrementa la cuantía de las sanciones por incumplimiento del RGPD Europeo.

En este escenario, según la Memoria de la AEPD del 2021, el pasado año se impusieron 258 multas por un importe total acumulado de 35 millones de euros frente a las 167 del 2020 por valor de 8 millones de euros.

El número de sanciones se ha incrementado un 54% más y las cantidades económicas un 337% más. En este sentido, la interpretación es sencilla, se han impuesto muchas más multas y por mucho más dinero.

A este respecto, una de las reacciones que se observa es la mayor proliferación de los Delegados de Protección de Datos (DPD) en empresas e instituciones públicas.

Así, a finales de año, se notificaron 82.249 DPD frente a los 65.040 DPD de 2020. De la cifra del año pasado, 74.033 corresponden al sector privado y 8.396 al sector público.

Esta figura ha vuelto a estar de actualidad porque en el proyecto de ley para transponer la directiva Whistleblowing se indica que será necesario designar un delegado de Protección de Datos (DPD).

A este respecto, estarán obligadas aquellas entidades obligadas a disponer de un sistema interno de comunicaciones o canal de denuncias, así como los terceros externos que en su caso lo gestionen, para todo tipo de tratamientos incluido el sistema interno de comunicaciones, aunque anteriormente no estuviese obligado a designarlo, manifiestan.

La AEPD dispone de  un espacio en su Sede electrónica para que cualquier interesado pueda consultar la lista de delegados de protección de datos comunicados  a este regulador.

De hecho, según el artículo 37.7 del RGPD  la entidad responsable o encargada del tratamiento que designe un DPD tiene la obligación de comunicar el nombramiento al regulador en el plazo 10 días y publicitar  su existencia a través de medios electrónicos.

De esta forma, los ciudadanos que quieran ejercitar sus derechos o presentar una reclamación ante una entidad pueden introducir el nombre, razón social o NIF de la organización para conocer los datos de contacto del DPD y dirigir sus solicitudes

Por lo que respecta a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, se han recibido casi 670 consultas a través del Canal del DPD, que da respuesta a las consultas que plantean los Delegados de Protección de Datos previamente notificados a la Agencia y que el regulador ha mejorado su uso en estos últimos meses.

Pese a ese dato la directora de la AEPD, ahora en funciones, tras haber expirado su mandato, Mar España en varias comparecencias públicas ha señalado la falta de diálogo de las empresas con la agencia.  “Tienen que romper el miedo a hablar con la Agencia”, comentaba recientemente.

Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros). 

Estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros. 

El incremento en la cifra de multas impuestas con respecto a años anteriores está relacionado con el mayor número de procedimientos sancionadores resueltos y también con la envergadura y complejidad de los casos, derivada de la magnitud de los tratamientos de datos investigados.

El papel del DPD

La figura del Delegado de Protección de Datos no es obligatoria aunque La ley orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales (LOPDGDD)  determina que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del RGPD  (UE) 2016/679.

Según el RGPD europeo, las administraciones públicas deben contar con esa figura, mientras que las empresas privadas que traten datos a gran escala o de de especial sensibilidad deberán contar con ella.

La existencia de esta figura debe estar en sitio visible en la política de privacidad de la empresa que habitualmente se observa en la web de la compañía. 

Que una empresa que esté obligada a tener DPD no lo tenga o no lo promocione bien puede suponer una multa que oscila entre los 10.000 a 50.000 euros como infracción grave del artículo 37.1 del RGPD.

El DPD es, según la definición de la AEPD, «uno de los elementos claves del Reglamento General de Protección de Datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control».

Las funciones de esta figura son informar y asesorar a los empleados que deban realizar un tratamiento de datos de clientes, para que se realicen acorde al RGPD. 

Además, deberán supervisar el cumplimiento de lo dispuesto en el reglamento y cooperar con la autoridad de control (la AEPD).

Básicamente, es un nexo entre las autoridades competentes y la empresa para que el tratamiento correcto de los datos sea una realidad.

¿Quién debe contar con un DPD?

Nuestra LOPDGDD en su artículo 34 especifica aún más que empresas y entidades deben contar con un DPD.

A este respecto, en dicho artículo se señala la obligatoriedad para los colegios profesionales y sus consejos generales. Esto supone que Colegios de Abogados o Consejo General de la Abogacía cuentan con este profesional.

También indica que los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

Otro grupo obligado son las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

Al mismo tiempo los prestadores de servicios de la sociedad de la información , esto es operadores de telecomunicaciones, proveedores de acceso a Internet o motores de búsqueda, tendrán que contar con un DPD, cuando elaboren a gran escala perfiles de los usuarios del servicio.

Esta obligación también se extiende a las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

Otro grupo afectado son los establecimientos financieros de crédito así como las entidades aseguradoras y reaseguradoras, así como las empresas de servicio de inversión reguladas por la legislación del Mercado de Valores.

La medida también afecta a los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

Deberán contar con un DPD las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.

Aquí hay que incluir  a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

Empresas de publicidad y hospitales, obligados

También se ven obligadas las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes deben disponer de un DPD, aunque la normativa exceptúa profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Otro colectivo obligado es el de las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

Las empresas de seguridad privada, así como las federaciones deportivas cuando traten datos de menores de edad.

La propia  LOPDGDD prevé la figura del DPO voluntario, en su artículo 34 apartado 2: Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

Lo que parece claro es que la filosofía de esta normativa europea que cumplirá cuatro años el próximo 25 de mayo  y de la LOPDGDD estatal es la de que se extienda esta figura como garantía de la privacidad de las empresas.

Esta normativa deja abierto a que el DPD pueda formar parte de la empresa o ser un asesor externo que dé este servicio. Se trata sobre todo de controlar periódicamente el cumplimiento de la normativa, y orienten, auditen, ayuden y den tranquilidad al empresario de que lo está haciendo bien.

De esta manera, la nueva filosofía del RGPD europeo de que la protección de datos es algo estratégico toma cuerpo. Se trata de que esta obligación se cumpla desde el diseño y por defecto. 

Esto hace que junto al responsable de tratamiento de datos, la figura del DPD sea clave en las organizaciones.

Por @LuisjaSanchez, Periodista Jurídico.

    ¿Buscas un abogado especialista ?

    Te ayudamos a encontrar abogado de confianza en tu ciudad, gratis y sin compromiso. Contamos con una amplia red de abogados colaboradores por toda España y en cualquier materia.

    He leído y acepto las Condiciones de Uso y Privacidad, incluida la cesión de mis datos a los colaboradores del servicio

    Leave a Reply