La AEPD ha impuesto una multa de 25.000 € a Glovo por no haber designado a un DPO conforme al artículo 37 RGPD.
¿Alguna vez te has preguntado si tu empresa está sujeta al requisito del RGPD sobre la obligatoriedad de designación de un DPO? La ambigüedad de la redacción del RGPD en la definición de los casos en que resulta imperativo para los responsables y encargados de tratamiento nombrar a un DPO está conduciendo a cierta confusión en la industria. La última multa por esta causa la ha impuesto la AEPD, y es de hecho la primera de nuestro país motivada por este hecho.
¿Cuáles son los hechos?
Según la resolución de la AEPD, parece que Glovo no contaba con un DPO, y en consonancia tampoco se ofrecía ninguna información al respecto en la Política de Privacidad de la empresa.
La AEPD considera que no nombrar a un DPO en este caso supone una violación del artículo 37 (1) RGPD en relación con el artículo 34 de la LOPDGDD porque sostiene que las actividades principales de Glovo “consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.
Glovo, por su parte, alega que no ha infringido la normativa porque ya había designado un Comité de Protección de datos que estaba a cargo de todos los asuntos de protección de datos. Además, insiste en que sí que había nombrado a un DPO. Cabe señalar, sin embargo, que dicho nombramiento tuvo lugar después de que comenzase la investigación y el procedimiento al respecto, y además no se decía nada sobre ello en la Política de Privacidad de la empresa.
Casos similares
El 28 de abril de 2020, la autoridad de control belga publicó una resolución por la cual multaba a la empresa de telecomunicaciones Proximus con 50.000€ por no involucrar al DPO en la gestión de las brechas de seguridad. Además, la compañía no contaba con un sistema para evitar el conflicto de intereses con el DPO, el cual, a su vez, desempeñaba otros cargos para la misma organización (responsable de cumplimiento y departamento de auditoría), en violación del artículo 38(6) del GDPR. Como consecuencia, la empresa no pudo asegurar que tales roles y tareas no supusiesen un conflicto de intereses.
¿Debería mi empresa tener esto en cuenta?
Bajo el RGPD, el responsable o encargado de los datos deberá designar a un DPO cuando:
- Sea una autoridad o entidad pública (salvo para los tribunales que actúen en su capacidad judicial);
- Sus actividades principales requieren una observación regular y sistemática de interesados a gran escala (por ejemplo, seguimiento del comportamiento online);
- Sus actividades principales consisten en un tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales.
Cabe destacar que los responsables y encargados de tratamiento pueden designar a un DPO incluso aunque no estén obligados a hacerlo conforme al RGPD.
¿En qué radican las diferentes perspectivas de Glovo y la AEPD?
Mientras que la AEPD sostiene que Glovo debería haber nombrado a un DPO porque tratan datos personales a gran escala, Glovo defiende que el RGPD no define el concepto de “gran escala”.
La guía sobre Delegados de Protección de Datos del Grupo de Trabajo del Artículo 29 (actual CEPD) clarifica este asunto de forma parcial.
Cuando se trata de determinar si un tratamiento es a gran escala, la guía ofrece una serie de elementos que deberían considerarse:
- el número de interesados afectados;
- el volumen de datos personales tratados;
- el rango de elementos de protección de datos tratados;
- la extensión geográfica de la actividad; y
- la duración de la actividad de tratamiento.
Nuestro consejo
Desarrollar un negocio de forma online aumenta las probabilidades de necesitar un DPO debido a la ubiquidad de los datos en internet, con lo que se recomienda que, al menos, las empresas reciban asesoramiento de un experto en privacidad y protección de datos al decidir si el requisito de designar a un DPO les aplica o no de manera preceptiva.
