Recientemente la AEPD ha sancionado a la empresa de reparto de comida a domicilio Glovo con una multa de 25.000 euros por no haber designado un Delegado de Protección de Datos, viniendo obligada a ello -según la resolución- por tratar datos a gran escala.
Después de la lectura de la resolución, debemos decir que, a falta de otros detalles que necesariamente obran en el procedimiento sancionador, parecen existir interesantes cuestiones para las que la resolución sancionadora no parece dar una respuesta clara.
Veamos cuáles.
Existía un Comité de Protección de Datos desde 2018
La empresa entendía que no estaba comprendida en los supuestos del del articulo 37.1 b) del RGPD ni del 34 de la LOPDGDD, es decir: que no tenía la obligación de designar un delegado de protección de datos (DPO), a pesar de lo cual dos años antes había constituido un Comité de Protección de Datos y designado, incluso, un «sub-comité de protección de datos». Ante la apertura del expediente por parte de la AEPD, la empresa opta finalmente por designar ante la Agencia a un DPD.
La AEPD considera que la organización trata datos personales a gran escala y el no haber designado un DPD constituye una infracción de carácter grave. La empresa afirma que su Comité de Protección de Datos ejercía las funciones de un Delegado de Protección de Datos.
Suponemos que tanto la afirmación de la organización como la de la AEPD estarán soportadas por un análisis que llega a distintas conclusiones.
Tal parece que en la página web de la app la política de privacidad no contenía información sobre quién había sido designado como DPD.
Tratamiento a «gran escala» concepto jurídico indeterminado.
Dado que el “tratamiento a gran escala” es un concepto jurídico indeterminado suponemos que tanto la organización como la AEPD habrán recurrido a un examen basado en las directrices del Grupo de Trabajo del Articulo 29 (GT29) y del propio RGPD.
El GT29, en su dictamen sobre la designación de delegados de protección de datos considera que para valorar si el tratamiento se realiza a gran escala debe tenerse en cuenta:
- El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
- El volumen de datos y la variedad de datos tratados
- La duración o permanencia de la actividad de tratamiento
- La extensión geográfica de la actividad de tratamiento
Por otro lado, en su directriz 248 sobre la Evaluación del Impacto de la Protección de Datos (EIPD) intenta concretar el concepto «gran escala»:
“Datos tratados gran escala: el GDPR no define lo que constituye a gran escala, aunque el considerando 91 proporciona algunas orientaciones. En cualquier caso, el GT29 recomienda que se tengan en cuenta, en particular, los siguientes factores para determinar si el tratamiento se realiza a gran escala:
- El número de sujetos afectados ya sea como número específico o como proporción de un conjunto de población
- El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando
- La duración o permanencia de la actividad de tratamiento de datos
- La extensión geográfica del tratamiento”
El Considerando 91 RGPD, al que alude la directriz 248, se refiere las operaciones de tratamiento a gran escala:
“que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos”.
Primera sanción a una empresa por no haber designado un Delegado de Protección de Datos, estando obligada a ello.
La verdad es que esta primera sanción que la AEPD impone por incumplir la obligación de designar un DPD basado en el tratamiento a gran escala de datos hubiera sido una oportunidad -que se ha perdido- que la resolución de la AEPD hubiera efectuado un análisis de hechos probados o en sus fundamentos jurídicos fuera más explícita, sobre el por qué se ha llegado a la conclusión de que hay tratamiento a gran escala frente a la conclusión alcanzada por la propia organización. ¿O es que tal vez la organización no hizo una adecuada valoración de los riesgos ni dejo constancia de tal análisis?…Podría entonces -especulamos- la AEPD mencionar tal circunstancia; pero no lo hace en su resolución.
La sanción impuesta se agrava por dos circunstancias:
1º Dice la resolución que aplica la agravante del articulo 83.2.a) por el número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene.
Sin embargo, la agravante del articulo 83.2 a) habla de que para su aplicación se estará a la naturaleza, gravedad y duración de la infracción (falta de nombramiento de un Delegado de Protección de Datos), teniendo en cuenta la naturaleza alcance o propósito de la operación de tratamiento, el número de afectados y el nivel de daños y perjuicios que se hayan producido.
2º Las categorías de datos afectados por la infracción artículo 83.2.g) es otra agravante que se aplica estando afectados identificadores personales básicos.
Pareciera que el RGPD quisiera agravar la conducta si las categorías de datos afectados fueran las del articulo 9 o 10. Sin embargo tal parece que la AEPD no lo ha entendido así.
No se tiene en cuenta a la hora de graduar la sanción
Pese a que se pone de manifiesto en la propia resolución que, aunque no hay nombrado un Delegado de Protección de Datos, sí hay un Comité de Protección de Datos que ejercita, dice la empresa sancionada, las funciones que le corresponderían al Delegado de Protección de Datos, ello no se tiene en cuenta por la AEPD a la hora de graduar la sanción, aunque de esta medida denote, a nuestro parecer, una cierta proactividad por parte del responsable de tratamiento.
Tampoco se tiene en cuenta por parte de la AEPD a efectos de graduar la sanción que se nombra un Delegado de Protección de Datos, si bien una vez se ha iniciado ya el procedimiento sancionador.
Conclusión, con independencia de que seguramente nos faltan elementos de juicio para comentar la Resolución de la AEPD, pensamos que ésta podría haber sido una buena oportunidad para fijar criterios que sirvan para dar seguridad jurídica en la aplicación de la normativa de protección de datos, especialmente en lo que concierne a criterios relacionados con tratamiento a «gran escala».
¿Empezaremos a ver más sanciones de la AEPD y menos «consejos»?
Por último, quizás convenga preguntarse si la AEPD está cerrando la fase de concienciación y formación que ha venido dispensando, con resoluciones que más animan al cumplimiento que con multas y sanciones y se abre una página donde vamos a empezar a ver más sanciones.
Olga Guidotti
Consultar perfil
© Legal Compliance
