La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una multa de 10.000€ a una empresa de juegos online por no nombrar a un Delegado de Protección de Datos (en adelante, DPD) siendo, en este caso, su designación obligatoria. La cuantía de la sanción nos revela la importancia de contar con un DPD en la organización, sobre todo si su designación es obligatoria.

¿Qué es un Delegado de Protección de Datos?

En primer lugar, es importante aclarar que se trata de una figura novedosa en el ordenamiento jurídico español, introducida por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) en 2016. No obstante, para el legislador comunitario no se trata de una figura desconocida. El DPD aparece por primera vez en Alemania con la aprobación de la Ley Federal de Protección de Datos de 1977. Después, se incluyó dicha figura en la Directiva 95/46/CE, que la recogía bajo el nombre de “encargado de la protección de datos personales” en su Considerando 49. En varios Estados miembros se ha desarrollado a lo largo de los años la práctica de tal designación, sin embargo, al no exigir la Directiva su nombramiento a ninguna organización, la Ley Orgánica de Protección de Datos española de 1999 no la tuvo en cuenta.

Con carácter previo a la entrada en vigor del RGPD, el Grupo de Trabajo del Artículo 29 argumentaba que el DPD es la piedra angular de la rendición de cuentas y que el nombramiento de un DPD puede facilitar el cumplimiento y, además, convertirse en una ventaja competitiva para las empresas.

Pero no fue hasta la llegada del RGPD que la figura del DPD adquiere una destacada importancia. Éste se configura como uno de los ejes principales del principio de responsabilidad proactiva que contempla la normativa. Se trata de una pieza cardinal en el nuevo modelo europeo de privacidad. Además de facilitar el cumplimiento mediante la aplicación de instrumentos de rendición de cuentas, los DPDs se encargan de asesorar al responsable o encargado del tratamiento sobre sus obligaciones en materia de privacidad y de supervisar su cumplimiento.

También actúan como intermediarios entre todos los sujetos involucrados, incluyendo a los interesados, los diferentes departamentos dentro de una organización y la propia Autoridad de Control.

Se exige a los responsables y encargados que comuniquen a la AEPD o Agencias autonómicas competentes, las designaciones, nombramientos y ceses de los DPDs en el plazo de 10 días, con independencia de que sea designación obligatoria o voluntaria.

Así, conforme a lo establecido en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) se considera como infracción grave el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.

En este caso, la AEPD recibió una reclamación de un particular, denunciando que la empresa no disponía de un DPD y decidió iniciar un procedimiento sancionador. La reclamada no presentó alegaciones ni pruebas que contradigan los hechos denunciados en el plazo establecido para ello. A continuación, la AEPD constató que la empresa no figuraba en la lista de DPDs comunicados a la misma y concluyó que la conducta de la reclamada no era acorde a la normativa de protección de datos ya que la falta de designación de DPD, al dedicarse a los juegos online, da lugar a la vulneración del artículo 37.1.b) del RGPD en relación con el artículo 34.1.n) de la LOPDGDD - "Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego"-.

Esta no es la primera sanción que emite la AEPD al respecto, ya en 2020 impuso una multa de 25.000€ a otra empresa por el mismo motivo, agravado por tratarse de un tratamiento de datos personales a gran escala por el número de clientes que tenía.

Con estas medidas, tanto el legislador como la Autoridad de control pretenden incentivar el nombramiento y notificación formal del DPD, con carácter previo, a su interlocución con la AEPD.

¿A quién puedo nombrar en mi empresa como DPD?

Tanto el RGPD como la LOPDGDD exigen que el DPD sea nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la normativa y la práctica en lo referente a protección de datos. Muchas organizaciones se encuentran con la problemática de que no disponen de ninguna persona en su plantilla que disponga de las cualidades profesionales que requiere esta figura. Además, la LOPDGDD apunta expresamente a que debe evitarse cualquier conflicto de intereses en la actuación de un DPD. Este riesgo de conflicto pudiera aparecer si el mismo se sitúa en determinados departamentos o áreas de una organización. En estos casos, la normativa permite que el DPD no forme parte de la plantilla del responsable, sino que puede desempeñar sus funciones en el marco de un contrato de servicios.

La elección de un DPD interno o externo queda a la voluntad de cada organización, que dependerá del tamaño y las actividades que lleve a cabo. Sin embargo, deberá garantizarse en todo momento que esta figura cumple con los requisitos establecidos legalmente y su independencia.

Artículo de Andrea Camps