¡Al fin! Al fin tenemos una resolución de la Agencia Española de Protección de Datos por la que se sanciona a una empresa por no haber designado delegado de protección de datos. En este caso la empresa sancionada es la famosa y reconocida (y aún más usada durante el confinamiento por el COVID19) Glovo.
¿Por qué Glovo? ¿En base a qué motivo? ¿De cuánto ha sido la sanción?Estas y otras cuestiones son las que vamos a resolver en la siguientes líneas.
Se ha sancionado a Glovo, no porque se haya abierto una investigación de oficio, sino porque como suele pasar en materia de protección de datos, dos afectados han presentado reclamación ante la AEPD al no encontrar entre la información legal de Glovo los datos de contacto de su delegado de protección de datos. Una obligación que debe ser cumplida por todo responsable de tratamiento de datos que tenga que designar a uno (artículos 13 y 14 del Reglamento, 2016/679, General de Protección de Datos). Sin embargo, en este caso la sanción no ha sido por el incumplimiento del deber de informar, sino porque, y con base en la investigación que abre de oficio la AEPD se ha destapado que Glovo no ha designado, ni comunicado a la AEPD que se haya nombrado a un delegado de protección de datos.
No obstante, llegados a este punto algunos podrían pensar – ¿Pero si no se tratan datos de categorías especiales no tienen porqué designar y comunicar el nombramiento de un DPD, no?”
No, ese planteamiento no es correcto ya que si echamos un vistazo al artículo 37 del RGPD, éste nos dice que además de cuando se tratan datos de categorías especiales el responsable deberá de designar a un DPD siempre que “las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”. Por ello, ha de tenerse especial cautela cuando tratamos datos personales, no exclusivamente por la confidencialidad e integridad de los datos o el resto de principios del artículo 5 RGPD, sino también porque además de las obligaciones de tipo material existen otras obligaciones formales como la designación y comunicación del DPD (obligación que podemos ver recogida en el artículo 34 de la Ley orgánica, 3/2018, de protección de datos de carácter personal y garantía de los derechos fundamentales).
La cuestión del asunto y lo que podríamos ver que se discuta, en caso de que Glovo recurra ante la Audiencia Nacional, es qué se considera tratamiento a gran escala. Los profesionales de protección de datos nos quebramos a diario la cabeza intentando averiguar exactamente qué es un tratamiento a gran escala, y es que en determinadas ocasiones puede ser el tratamiento de datos de 10.000 personas o de 100.000. Sobre ello nos da una pista el RGPD y es que en su considerando 91 se nos conduce a pensar que un tratamiento a gran escala puede ser aquel que persiga tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo. Sin embargo la cuestión no es clara y es por ello que para determinar si estamos ante un tratamiento a gran escala o no deberemos de examinar caso por caso ciertas cuestiones, algunas de las cuales menciona SAIZ PEÑA, C.A. en Tratado de protección de datos, Tirant lo Blanch, Valencia, 2019:
👉(i) el número de personas afectadas;
👉(ii) volumen de datos o número de categorías;
👉(iii) duración del tratamiento;
👉(iv) extensión geográfica.
Así la cosas, sabiendo la presencia, volumen de negocio y adopción de los servicios de Glovo entre la población no sólo española sino también de otras regiones como la latinoamericana, es difícil pensar que dicha compañía no realice un tratamiento de datos a gran escala. Sin embargo, la AEPD en su resolución, desaprovechando la oportunidad de dar una interpretación o directrices generales sobre el concepto de gran escala, sólo menciona la existencia de tal pero sin justificarlo, un fallo, que desde el punto de vista de un servidor le podría costar la sanción impuesta por no estar bien detallado en qué consiste un tratamiento a gran escala (artículo 27 de Ley, 40/2015, de régimen jurídico del sector público), máxime cuando éste da pie al cumplimiento de una serie de obligaciones formales como la designación del DPD y su comunicación, y cuyo incumplimiento puede ser sancionable, como hemos analizado a lo largo de esta entrada.
Por otro lado, y dejando a un lado la discusión sobre el concepto de tratamiento a gran escala, merece la pena advertir que en este caso concreto Glovo alegó que poseía un órgano interno con las funciones de un DPD sin haber nombrado en ningún momento a uno en concreto. Así, en sus alegaciones contestaba que se había formado un Comité de protección de datos el cual desempeñaba las funciones propias de un DPD (artículo 39 del RGPD).
Sobre ello ha de advertirse que en ciertas ocasiones habrá responsables o encargados que no nombren a un delegado de protección de datos por falta de presupuesto, pero sí encarguen a terceros la realización de programa de cumplimiento que integren todas las obligaciones materiales a las que se refiere el RGPD y mantengan con estos una suerte de asesoramiento recurrente que asimile el tener a un DPD externo. Pero esto no es suficiente, puesto que si un responsable tiene la obligación de designar un DPD (sobre ello hablamos anteriormente en nuestro [blog] y canal de [YouTube]) implica también que tiene que comunicar su nombramiento a la AEPD en el plazo máximo de 10 días (artículo 34.3 de la LOPDGDD).
Así, en el caso de que estemos ante uno de los supuestos en los nombrar a un DPD sea obligatorio, no sólo deberemos de contar con un asesor externo en privacidad, sino que deberemos de nombrar a éste como DPD (interno o externo), notificarlo a la AEPD e informar sobre sus datos de contacto e identidad en la información sobre protección de datos que debemos colgar en nuestros medios online, o incluir en nuestros contratos, y cualesquiera otros documentos asociados al tratamiento de datos, ya que de lo contrario podría pasarnos como a Glovo y enfrentarnos a una sanción económica de 25.000€.
Pablo Viedma
Tech & Privacy