Javier Sempere Samaniego, Delegado de Protección de Datos del Consejo General del Poder Judicial, ha elaborado para la Asociación Profesional Española de Privacidad (APEP) una nota informativa que versa sobre las resoluciones sancionadoras adoptadas por las autoridades de control que afectan al régimen de los DPO.
La finalidad de esta publicación no ha sido otra que comunicar a los asociados de APEP las resoluciones que afectan al estatus de los delegados de protección de datos (DPO).
Ejemplos de estas resoluciones son los siguientes:
En este artículo vamos a tratar...
Autoridad de Protección de Datos de Luxemburgo
En 2018, la Comisión Nacional de Protección de Datos de Luxemburgo llevó a cabo un plan de inspección a 25 responsables, con el fin de comprobar si cumplían los requisitos relacionados con los Delegados de Protección de Datos.
A. Multa de 18.700€ a una empresa por incumplimiento de requisitos del RGPD sobre el Delegado de Protección de Datos
La CNPDL impuso una multa de 18.700€ a una empresa por cometer cuatro infracciones relacionadas con dichos requisitos, además de emitir una orden judicial contra la misma empresa, con el fin de que cumpliera con el RGPD en un plazo de cuatro meses.
Las infracciones cometidas son las siguientes:
1.- El responsable del tratamiento no publicó sus datos de contacto de Delegado de Protección de Datos, infringiendo el artículo 37.7 del RGPD.
2.- El responsable del tratamiento no se aseguró de que el DPO estuviera involucrado de manera oportuna y adecuada en todos aquellos asuntos relacionados con la protección de datos personales, infringiendo así el artículo 38.1 RGPD.
3.- El responsable del tratamiento no se aseguró de que el DPO cumpliera su misión con un grado suficiente de autonomía, violando así el artículo 38.3 RGPD.
4.- El responsable del tratamiento no se aseguró de que el DPO pudiera monitorear de manera correcta el cumplimiento de las prácticas de procesamiento de datos con el RGPD, incumpliendo así el artículo 39.1.b) RGPD.
B. Empresa incumple su obligación de comunicar los datos de contacto del DPO
La Comisión Nacional de Protección de Datos de Luxemburgo advirtió a una empresa al descubrir el incumplimiento su obligación de comunicar los datos de contacto del DPO, en virtud del artículo 37.7 RGPD, y su obligación de garantizar que su DPO no tuviera ningún conflicto de intereses, según lo indicado en el artículo 38.6 RGPD.
Dichas violaciones cometidas por la empresa fueron solventadas, por lo que finalmente no tuvieron que hacer frente al pago de una multa administrativa.
C. Multa de 18.000€ a una empresa por no proporcionar a su DPO los recursos ni el marco organizativo necesarios para desarrollar adecuadamente sus tareas.
Dicha empresa contaba, en su sede central, con una oficina de privacidad, mientras que la filial de Luxemburgo disponía de un sólo abogado de protección de datos.
El grupo de empresas designó un único DPO del grupo para gestionar los asuntos de protección de datos tanto de la empresa central como de la filial sita en Luxemburgo.
La Comisión Nacional consideró que existía una ausencia de participación directa del DPO del grupo en la sede central, lo que supondría un riesgo de que no estuviera correctamente involucrado a nivel operativo en Luxemburgo, infringiendo por tanto el artículo 38.1 RGPD.
También se constató una vulneración del artículo 38.2 RGPD, al no porporcionarse al DPO los recursos necesarios para poder llevar a cabo sus tareas y acceder a los datos personales, así como a las operaciones de tratamiento.
También se consideró una falta de retroalimentación directa de información del DPO al controlador de datos de la filial de Luxemburgo, suponiendo una vulneración del artículo 39.1.a) RGPD.
Autoridad de Protección de Datos de Bélgica
A.La Autoridad de Protección de Datos de Bélgica multó a un banco al pago de 75.000€, al determinar que existía un conflicto de intereses en la persona que desempeñaba las funciones del DPO.
Este sujeto era también jefe de tres departamentos con poderes de decisión sobre el procesamiento de datos personales.
En su defensa, el Banco determinó que el DPO no tenía poder de decisión para determinar los fines y medios del tratamiento de datos personales en sus funciones desempeñadas en el Banco, sino que sólo cumplía con funciones consultivas y de supervisión.
Ante esto, la Autoridad de Protección de datos belga determinó que el papel del titular de esos servicios no era puramente de asesoramiento y supervisión, sino que además podía determinar los medios y propósitos del procesamiento de datos personales.
Adicionalmente, el Registro de Actividades de Procesamiento del Banco enumeró una cantidad sustancial de categorías de datos personales que estos departamentos procesan.
Por todo ello, al considerar que el DPO tenía la responsabilidad final sobre los departamentos arriba mencionados, la Autoridad de Protección de datos belga determinó la existencia de un conflicto de intereses, suponiendo una violación del artículo 38 RGPD.
B. Empresa condenada a una multa de 18.000€ por la vulneración de varios artículos del RGPD, en relación a los incumplimientos relacionados con el DPO.
En primer lugar, vulneración del artículo 38.1 RGPD, al considerarse que el DPO no se había implicado de manera suficiente en todas las cuestiones relativas a la Ley de Protección de Datos. Se consideró que el DPO externo no podía intervenir voluntariamente si no se lo solicitaba el responsable del tratamiento.
Por otro lado, vulneracion del artículo 37.7 RGPD, al considerarse que los datos de contacto del DPO no eran fáciles de ubicar en la página web del responsable del tratamiento, y sólo eran accesibles en inglés, y no en ninguno de los idiomas oficiales del responsable.
En tercer lugar, vulneración del artículo 39.1.b) RGPD, al no haber implantado el responsable del tratamiento los procedimientos de control necesarios que hubieran permitido al DPO externo controlar correctamente el cumplimiento de las prácticas de tratamiento de daos del responsable del tratamiento con el RGPD.
Por último, vulneración del artículo 38.2 RGPD, al no haber asignado el responsable del tratamiento al DPO externo los recursos necesarios para que éste pudiera desempeñar sus funciones.
Autoridad de Protección de Datos de Grecia
La Autoridad de Protección de Datos griega multó al Ministerio de Turismo al pago de 75.000€ por los siguientes motivos:
- Falta de designación de un DPO
- Falta de informar sobre una violación de datos que permitió a los ciudadanos que ingresaron sus credenciales en una plataforma gubernamental ver los datos personales de otras personas (nombres, apellidos, número de IVA…).
El Ministerio de Turismo era el responsable del procesamiento en la plataforma, por lo que también era responsable, según el RGPD, por la violación de datos y falta de un DPO.
Consideró la Autoridad de Protección de Datos griega la existencia de un incumplimiento de los requisitos fundamentales para tomar medidas organizativas y técnicas apropiadas para la seguridad del procesamiento, conforme al artículo 32 RGPD, estrechamente unido al artículo 34 RGPD.
El controlador no tuvo en cuenta los riesgos para los derechos y libertades de las personas físicas en la determinación de las medidas de seguridad.
Finalmente, la Autoridad de Protección de Datos griega consideró una vulneración de los siguientes artículos por parte del Ministerio de Turismo:
- Artículo 33 RGPD, al no informar de la filtración de datos arriba mencionada.
- Artículo 37.1 RGPD, al no designar un responsable de protección de datos en el momento en que se produjo la filtración.
Autoridad de Protección de Datos en Eslovenia
La Autoridad de Protección de Datos de Eslovenia se pronunció acerca de la imposibilidad de que el director o gerente de una empresa (CEO) sea el DPO.
Señala la mencionada Autoridad que el DPO no realizará tareas que determinen los fines o medios del procesamiento de datos personales.
Más concretamente, se indicarán todas aquellas situaciones incompatibles con el DPO, entre ellas:
- Puestos de alta dirección (Director General, Director de Operaciones, Director Financiero, Director de Márketing, Director de Recursos Humenos…).
- Otros roles subordinados en la organización, siempre y cuando estos cargos o roles conduzcan a la determinación de los fines y medios del procesamiento.
Autoridad de Protección de Datos en España
La Agencia Española de Protección de Datos en España ha emitido una serie de resoluciones sobre supuestos en los que no se designó un delegado de protección de datos, siendo obligatoria dicha designación, conforme al artículo 37.1 RGPD y 37.4 RGPD, en relación al artículo 34 de la LOPDGDD.
Estas resoluciones afectan tanto al sector privado como al público.
Varios Ayuntamientos vulneraron el artículo 37.1 RGPD, sobre la Designación del delegado de protección de datos, ya que en la sede de la AEPD no figuraba designado ningún DPO, no constando notificación de su designación.
El RGPD informa de que los responsables y encargados de tratamiento han de designar un DPO en los supuestos que el propio RGPD dicte, así como en aquellos casos en que la legislación de los Estados Miembros lo considere obligatorio.
Las Administraciones públicas actúan como responsables de tratamientos de datos de carácter personal y, en ocasiones, ejercen funciones de encargados de tratamiento.
Por esta razón, les corresponde, siguiendo el principio de responsabilidad proactiva, atender las obligaciones que el RGPD señala, entre ellas, nombrar un Delegado de Protección de Datos y comunicárselo a la AEPD.
En definitiva, todos los Estados miembros de la UE deberán de cumplir con lo establecido en el Reglamento General de Protección de Datos acerca de la figura del DPO.
De esta manera, otorgarán al DPO las competencias y mecanismos necesarios para que pueda llevar a cabo un correcto tratamiento de los datos personales, conforme al RGPD.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!