La autoridad de protección de datos de Polonia ha impuesto una multa de 132.000 € a Toyota Bank Polska por no garantizar la independencia de su Delegado de Protección de Datos (DPO, por sus siglas en inglés) y por no documentar las prácticas de elaboración de perfiles ni realizar una Evaluación de Impacto de Protección de Datos (DPIA, por sus siglas en inglés).
El 18 de diciembre de 2024, la Autoridad Polaca de Protección de Datos (UODO) impuso una multa administrativa de 132.000 € a Toyota Bank Polska S.A. por infracción de algunas disposiciones clave del Reglamento General de Protección de Datos (RGPD). La investigación reveló deficiencias graves en relación con la independencia del DPO, así como la falta de documentación de las actividades de perfilado y la ausencia de una Evaluación de Impacto de Protección de Datos adecuada.
La autoridad polaca detectó múltiples infracciones del RGPD por parte de Toyota Bank Polska S.A., incluida la falta de independencia organizativa del DPO.
El RGPD exige que el DPO actúe de forma independiente y rinda cuentas directamente al nivel más alto de la dirección. Sin embargo, en este caso, el DPO de Toyota Bank Polska estaba estructuralmente subordinado al Director del departamento de seguridad, en lugar de al Consejo de Administración del banco. Además, este director también supervisaba las actividades de tratamiento de datos, lo que generaba un claro conflicto de intereses y comprometía la independencia exigida al DPO según el artículo 38(3) del RGPD.
El banco no incluyó la elaboración de perfiles en el registro de actividades de tratamiento ni en la DPIA.
Toyota Bank trata datos de clientes para evaluar su solvencia mediante elaboración automatizada de perfiles, específicamente mediante la asignación de una puntuación crediticia y una categoría de riesgo. A pesar de ello, el banco no documentó este perfilado en su registro de actividades de tratamiento según el artículo 30. Asimismo, el banco no evaluó los riesgos asociados con este perfilado mediante una DPIA, contraviniendo lo dispuesto en los artículos 35 (1) y 35 (7) del RGPD.
La multa administrativa impuesta a Toyota Bank Polska S.A. refleja la gravedad de las infracciones y subraya la importancia de la responsabilidad organizativa.
Como resultado de estos hallazgos, la UODO impuso dos multas distintas: 60.000 € por la infracción del artículo 38 (3) relativa a la posición del DPO, y 72.000 € por las infracciones de los artículos 30 (1) y 35 (1,7) relacionadas con el registro de actividades de tratamiento y las obligaciones de la DPIA. La multa total de 132.000 € pone de manifiesto que el regulador considera estas infracciones como graves, con implicaciones importantes para los derechos de los interesados y la rendición de cuentas de las organizaciones.
Este caso sirve como una clara advertencia a los responsables del tratamiento sobre sus obligaciones en materia de gobernanza y transparencia.
La decisión es un ejemplo claro de la necesidad de que las organizaciones aseguren que sus DPO no solo estén formalmente designados, sino que también sean operativamente independientes y estén libres de conflictos de intereses. También reafirma la importancia de mantener registros precisos de las actividades de tratamiento y de realizar evaluaciones de impacto exhaustivas, especialmente cuando se lleva a cabo perfilado o toma de decisiones automatizada. Los responsables del tratamiento deben garantizar el cumplimiento total del RGPD, no solo en la política organizativa, sino también en la práctica.
Descubre cómo puede ayudarte Aphaia a diseñar tu estrategia de protección de datos e IA. Ofrecemos servicios de cumplimiento con el RGPD y el UK GDPR, así como DPO externo. Nos especializamos en ayudar a empresas como la tuya con soluciones innovadoras que cumplan y superen los requisitos del mercado y del panorama regulatorio actual. Contacta con Aphaia hoy.
