Primera multa de la Agencia Española de Protección de Datos (AEPD) a una empresa por carecer de un Delegado de Protección de Datos

Primera multa de la Agencia Española de Protección de Datos (AEPD) a una empresa por carecer de un Delegado de Protección de Datos

Primera multa de la Agencia Española de Protección de Datos (AEPD) a una empresa por carecer de un Delegado de Protección de Datos

El pasado 9 de junio, la AEPD impuso una multa de 25.000 euros a la empresa Glovoapp23 (“Glovo” o la “Empresa”) por carecer de un Delegado de Protección de Datos (“DPD”). Es la primera sanción en España contra una empresa por este tipo de infracción del RGPD.
Glovo es una empresa española con presencia internacional que se dedica a la compra, recogida y envío de pedidos mediante una aplicación a través de repartidores independientes conocidos como “glovers”.

Infracción:
La sanción es consecuencia de la infracción del artículo 37 del RGPD, el cual establece la obligación de designar un DPD en determinados escenarios, en base al tipo de empresa que trate los datos, el tipo de actividad, o el tipo de datos objeto del tratamiento.
El artículo 34 de la LOPDGDD enumera de una forma más descriptiva el tipo de entidades obligadas a nombrar un DPD.

Hechos:
El 21 de mayo y el 4 de noviembre de 2019 se presentaron ante la AEPD dos reclamaciones contra la Empresa por no tener nombrado un DPD.
Inicialmente, la Empresa argumentó que su actividad de tratamiento no se encontraba en los supuestos recogidos en el art. 37 del RGPD ni en el art. 34 de la LOPDGDD, por lo que no estaba obligada a contar con un DPD.
Sin perjuicio de ello, la Empresa indicó que pese a no haber designado formalmente un DPD, el 8 de junio de 2018 creó un Comité de Protección de Datos con las funciones propias de un DPD.
Asimismo, el 23 de mayo de 2019, la Empresa nombró formalmente un DPD, pero no inscribió su nombramiento en el registro de DPD de la AEPD hasta el 31 de enero de 2020, casi tres semanas después de que la AEPD hubiese iniciado un procedimiento sancionador contra ella.
En su resolución, la AEPD estima que la Empresa realizaba un tratamiento de datos a gran escala, conforme a lo recogido en el artículo 37.1.b) del RGPD, por lo que sí era obligatorio nombrar un DPD. Dicho artículo reza lo siguiente:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.
Desafortunadamente, la AEPD desaprovecha la oportunidad de aclarar en este caso los criterios utilizados para determinar lo que considera un tratamiento de datos a gran escala.

¿Qué se considera tratamiento de datos a “gran escala”?
El RGPD no define el concepto de “gran escala”. Las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) del Grupo de Trabajo del Articulo 29 (las “Directrices”) arrojan cierta luz sobre el concepto, enumerando los factores a tener en cuenta a la hora de determinar si un tratamiento de datos se realiza a gran escala:
a) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

b) el volumen de datos o la variedad de elementos de datos distintos que se procesan;

c) la duración, o permanencia, de la actividad de tratamiento de datos;

d) el alcance geográfico de la actividad de tratamiento;

Teniendo presente estos factores, y con el fin de entender la información que la AEPD ha tomado en consideración para determinar el concepto de “gran escala” en este caso concreto, desde el RGPD Blog hemos buscado los datos de Glovo que encajarían en estos factores:
a) Número de interesados afectados: 7 millones de usuarios (2 de ellos en España), según el Confidencial, y el Mundo (septiembre de 2019).

b) Volumen de datos o la variedad de elementos de datos distintos que se procesan: según su política de privacidad, Glovo procesa entre otros, los siguientes datos personales de sus clientes: Nombre, e-mail, teléfono móvil, dirección de correo, historial de navegación y preferencias del usuario y datos de geolocalización (previa autorización del usuario).

c) Duración de la actividad de tratamiento de datos: según su política de privacidad, los datos personales de los usuarios se tratarán mientras los interesados utilicen la plataforma Glovo. Tras darse de baja de la plataforma, los datos se conservarán durante distintos periodos de tiempo que van de 1 a 15 años, para cumplir con la distinta normativa de aplicación.

d) Alcance geográfico de la actividad de tratamiento: 26 países, según el Confidencial, y el Mundo (septiembre de 2019).

¿Ha definido algún estado miembro de la UE el concepto de tratamiento de datos a “gran escala”?
El Director de la Agencia de Protección de Datos de Estonia, Viljar Peep, publicó en el 2018 en su cuenta de LinkedIn la siguiente definición del concepto:
En el caso de tratamiento de categorías especiales de datos personales o infracciones penales, se considera tratamiento a gran escala a partir del umbral de 5.000 personas.
Este umbral se duplica a 10,000 personas para los tratamientos en los que La Agencia de Protección de Datos de Estonia considera que tienen un riesgo elevado para los derechos y libertades de los interesados, como es el caso de tratamiento de datos relacionados con servicios financieros y de pago; datos de geolocalización en tiempo real; y datos relacionados con la elaboración de perfiles con efecto legal.
Para todos los demás datos, el umbral de “gran escala” se establece en 50,000 personas.

¿Cuál es la posición del Comité Europeo de Protección de Datos (“CEPD” o el “Comité”) respecto a una definición más concreta del concepto de “gran escala”?
El CEPD es un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE.
En su Opinión 4/2018 del 25 de septiembre de 2018 sobre “La lista borrador de la autoridad de supervisión de datos competente de la República Checa en relación con las operaciones de procesamiento sujetas al requisito de una evaluación de impacto de protección de datos (Artículo 35.4 GDPR)”, el CEPD indicó que:
“El RGPD no define con precisión lo que constituye a gran escala. En las directrices del WP29 sobre el Oficial de Protección de Datos (WP243) y sobre el DPIA (WP248), ambas aprobadas por el Comité, se recomienda tener en cuenta varios factores específicos al determinar si un procesamiento se lleva a cabo a gran escala.
El Comité opina que esos factores son suficientes para evaluar si el procesamiento de datos personales se lleva a cabo a gran escala. Por lo tanto, el Comité solicita a la Autoridad de Supervisión de la República Checa que modifique su lista en consecuencia, eliminando las cifras explícitas en su lista y haciendo referencia a las definiciones de gran escala mencionadas anteriormente”.
El CEPD no explica las razones por las que prefiere que un estado miembro no concrete el concepto de “gran escala” con cifras. Quizás sea para evitar crear distintas definiciones según cada estado miembro, lo que iría en contra del espíritu armonizador del RGPD.
Contar con distintas definiciones del concepto ”gran escala” podría también beneficiar injustamente a las empresas con establecimiento principal en aquellos estados miembros con una definición menos restrictiva de este concepto.

La finalidad del contenido del RGPD Blog es la de crear conciencia sobre ciertos temas legales y generar debate. El contenido del RGPD Blog NO constituye un servicio de asesoramiento legal y en ningún caso debe de ser interpretado como tal. Ni el RGPD Blog, ni sus editores, se hacen responsables de ningún perjuicio o daño que pueda derivar del uso que vd. haga del contenido de este blog.

¡Llámanos ahora!
shares