Recientes resoluciones sancionadoras de la Agencia Española de Protección de Datos (AEPD) han puesto de relieve la importancia de la designación del Delegado de Protección de Datos (DPD) en aquellos supuestos en los que así lo obliga el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).
En virtud de lo dispuesto en la citada normativa de protección de datos personales, están obligadas a designar un DPD tanto las autoridades u organismos públicos como las entidades privadas previstas en el artículo 34.1 LOPD (entre otros, colegios profesionales, centros docentes, centros sanitarios, bancos o aseguradoras) así como todas aquellas cuyas actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala o realicen un tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Este concepto de “gran escala” es el que ha determinado que la AEPD haya sancionado a Glovo con una multa de 25.000 euros, aun contando con un Comité de Protección de Datos, al entender que dado su gran número de clientes esta empresa realiza tratamientos de datos personales a gran escala y que, por tanto, debió proceder a designar un DPD.
Por otra parte, nada impide que las entidades privadas que realicen tratamientos de datos personales que no requieran disponer legalmente de un DPD procedan a su designación voluntaria. Además de la buena práctica, ello supondría la graduación de una hipotética sanción ante una infracción de la normativa de protección de datos personales. Y es que la LOPD tipifica como infracción grave el incumplimiento de la obligación de designar un DPD, con sanciones que pueden alcanzar multas de 10 millones de euros, o una cuantía equivalente al 2 % del volumen de negocio total anual global del ejercicio financiero anterior.
Respecto al sector público, la AEPD ha impuesto recientes sanciones por la falta de designación de un DPD (Ayuntamiento de Huercal –Almería-) que se unen a otras dictadas en los últimos meses por no estar adaptados a la normativa de protección de datos personales (Ayuntamiento de Sevilla). El régimen sancionador previsto en la normativa de protección de datos no prevé la posibilidad de imponer multas a aquellas administraciones u organismos públicos que no hayan designado un DPD, procediéndose, en su defecto, a sancionarlas con un apercibimiento y requerir su nombramiento en el plazo de un mes; aunque, cuando las infracciones sean imputables a autoridades y directivos, las resoluciones sancionadoras pueden añadir amonestaciones, sanciones disciplinarias, comunicación al Defensor del Pueblo y su publicación en el BOE y en la página web de la AEPD.
Además, debemos tener presente que el DPD, para el desempeño de las funciones asignadas por el artículo 39 RGPD, deberá tener conocimientos especializados del Derecho y práctica en materia de protección de datos acreditable mediante la experiencia y la realización de cursos especializados (certificación de DPD de acuerdo con el esquema de la AEPD).
Por último, el RGPD prevé que el DPD pueda ser externalizado a través de un contrato de servicios, lo que otorga importantes beneficios a las organizaciones. Entre ellos, la posibilidad de disponer de forma inmediata de un profesional con la experiencia, competencias y conocimientos especializados y actualizados en Derecho y en la normativa y prácticas nacionales y europeas en materia de protección de datos personales; lo que supone, además del cumplimiento escrupuloso de lo previsto en el RGPD respecto a las cualidades que debe disponer el DPD para su designación, un ahorro de tiempo y costes respecto a la capacitación del personal interno que vaya a realizar sus funciones; o, en su caso, un ahorro de costes de contratación de la persona que desempeñe el cargo internamente. La práctica y conocimientos especializados del DPD resultará especialmente relevante en operaciones previstas en la normativa de protección de datos que pueden resultar demasiado complejas (análisis de riesgos, evaluaciones de impacto, brechas de seguridad, medidas de seguridad técnicas, etc.), permitiendo organizar la realización de las tareas necesarias en cada caso designando tiempos y responsables. Asimismo, permitiría a las organizaciones cumplir con el principio de responsabilidad proactiva y se garantizaría una mayor independencia con respecto a la dirección de la organización; y, por ende, una total ausencia de conflictos de intereses en el desempeño de sus funciones, fomentando una cultura de protección de datos personales dentro de la organización.