Multa a Google App por carecer de DPO. ¿Qué empresas están obligadas a tener DPO?
La Unión Europea viene exigiendo medidas uniformes para garantizar la privacidad de los datos personales a través de la aplicación de la normativa europea de privacidad, el Reglamento General de Protección de Datos (RGPD). En dicho Reglamento se establece la obligación, para determinados casos, de designar un Delegado de Protección de Datos (DPO) o referido comúnmente en inglés como ‘’Data Protection Officer’’.
Google, como gigante tecnológico no ha logrado pasar desapercibida para ante las autoridades europeas supervisoras en materia de privacidad. La Comisión Nacional de Protección de Datos francesa (CNIL) impuso una sanción de 50 millones de euros a Google por incumplimiento del RGPD.
Si bien es cierto que el único motivo de la sanción no fue la falta de un DPO, sino un cúmulo de infracciones entre las mismas: Carecer de DPO designado para su sede europea (Únicamente disponía de DPO designado en su HQ de California para todo el grupo, lo cual no cumple con los requisitos establecidos por el RGPD), así como incumplir su deber de información al usuario y la falta de obtención de consentimiento válido de los usuarios para procesar sus datos personales.
Google no ha sido la única cazada por las autoridades por no tener un DPO, en 2020 nuestra Agencia Española de Protección de Datos (AEPD) ya sancionó a GLOVO con una multa de 25.000 euros, precisamente por carecer de DPO.
¿Qué es un DPO y cuáles son sus funciones?
El DPO es una figura cuyo rol se considera la clave de una buena implementación del RGPD y por consiguiente para la prevención de riesgos e infracciones en materia de privacidad.
El artículo 39 del RGPD establece las funciones del DPO que, como mínimo, deberán incluir las siguientes:
- Asesoramiento e información de las obligaciones en materia de privacidad a los responsables, encargados y empleados de la organización.
- Supervisión del cumplimiento de lo dispuesto en el RGPD y de cualquier otra legislación en materia de privacidad aplicable incluyendo la asignación de responsabilidades, la concienciación y formación del personal que participa en el tratamiento de datos personales y las auditorías correspondientes.
- Ofrecer asesoramiento sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
- Cooperar con la autoridad de control, en España, la Agencia Española de Protección de Datos (AEPD), ejerciendo como punto de contacto con la misma para cualquier requerimiento de información que sea dirigido a la empresa u organización, así realizar cualquier consulta ante la AEPD en nombre de la empresa u organización.
Entidades obligadas y aspectos a tener en cuenta para nombrar un DPO.
El artículo 37 del RGPD establece la obligación de designar un delegado de protección de datos cuando se lleve a cabo tratamiento de datos personales por parte de una autoridad u organismo público, cuando las actividades principales consistan en el tratamiento de datos que requieran observación habitual y sistemática de interesados a gran escala, o cuando las actividades principales consistan en un tratamiento a gran escapa de categorías especiales de datos personales y relativos a condenas e infracciones.
Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) ha detallado con más claridad un listado de supuestos en los que es obligatorio nombrar un Delegado de Protección de Datos (DPO):
«Los responsables y encargados del tratamiento deberán nombrar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades’’.
Estipulando así, el siguiente listado de entidades obligadas a designar un DPO:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que impartan enseñanzas en cualquiera de los niveles, así como las universidades públicas y privadas.
- Las entidades que exploten redes y servicios de comunicaciones electrónicas cuando traten de forma habitual y sistemática datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información, cuando elaboren perfiles a gran escala de los usuarios de los servicios.
- Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por el Mercado de Valores.
- Las distribuidoras y comercializadoras de energía eléctrica y las distribuidoras y comercializadoras de gas natural.
- Entidades responsables de ficheros conjuntos de evaluación de la solvencia patrimonial y crédito, de gestión y prevención del fraude, incluidos los regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Entidades que realicen actividades de publicidad y prospección comercial, incluidos los estudios comerciales y de mercado, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los afectados.
- Centros sanitarios que estén legalmente obligados a llevar historiales de pacientes.
- Entidades cuya actividad consista en la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, de acuerdo con la normativa reguladora del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Las entidades responsables o encargadas del tratamiento no incluidas en el párrafo anterior podrán designar de manera voluntaria un DPO.
No se especifican las cualidades profesionales que se deben tener en cuenta a la hora de designar al DPD, pero es importante que tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos.
En cualquier caso, conforme al artículo 37.7 del RGPD cuando se designe un DPO existe obligación de comunicarlo a la autoridad de control en el plazo 10 días así como publicitar su existencia a través de medios electrónicos.
Multas y sanciones a empresas por carecer de DPO.
La LOPDGDD, establece en su artículo 73 que carecer de un DPO conforme a los requisitos del RGPD, podrá ser considerada como una infracción grave.
La falta de designación de un Delegado de Protección de Datos constituye una infracción, que puede suponer sanción administrativa de hasta 10 millones de euros o del 2 % del volumen de negocios total anual.
Letslaw
¿Todavía no has designado a un DPO? ¿No tienes claro si tu empresa u organización debe nombrar a un DPO? Contacta con Letslaw para que podamos prestarte asesoramiento sobre si tu negocio requiere designación de un DPO y asignarte un DPO con experiencia demostrable para cumplir con la normativa.