La Agencia Española de Protección de Datos ha sancionado recientemente a una empresa con 10.000 € por no haber nombrado un Delegado de Protección de Datos ante la autoridad de control. Recordar que con la entrada en vigor del Reglamento General de Protección de Datos 2016/679 y la Ley Orgánica de Protección de Datos y garantía de los Derechos Digitales se creó la figura del DPO como persona encargada de asegurar el cumplimiento de ambas normativas y de asegurar la integridad, confidencialidad y disponibilidad de los datos personales de determinados responsables y encargados del tratamiento,
En este caso, la sanción ha sido porque una empresa dedicada a los juegos online tenia y tiene la obligación de tener nombrad esta figura ante la autoridad de control. El denunciante, puso los hechos en conocimiento de la AEPD y esta, finalmente, ha decido imponer dicha sanción además de requerir en el en el plazo de un mes desde la notificación de la resolución, informe a la AEPD sobre el nombramiento del Delegado de Protección de Datos.
Entre los agravantes que ha tenido en cuenta la autoridad de control para la imposición de la sanción son los siguientes:
- La naturaleza, gravedad y duración de la infracción. La reclamada continúa sin comunicar a la AEPD la designación de DPD.
- La intencionalidad o negligencia en la infracción. En el presente caso no podemos afirmar que la reclamada haya obrado dolosamente, aunque su conducta pone de manifiesto una grave falta de diligencia.
- La forma en que la autoridad de control tuvo conocimiento de la infracción. La forma en que la AEPD ha tenido conocimiento ha sido por la interposición de la denuncia por parte de la reclamante.
- El número de interesados afectados, que la reclamada realiza un tratamiento de datos personales a gran escala por el número de personas que pueden acceder a sus productos.
Recordar algunas de las actividades que tienen OBLIGACIÓN de tener NOMBRADO un DPO ante la AEPD (según el artículo 34 de la LO 3/2018):
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
GONZALO OLIVER MARTÍN
OZONIA CONSULTORES