21 Feb Las startups y el Delegado de Protección de Datos obligatorio
¿Contáis en tu empresa o startup con un Delegado de Protección de Datos? ¿No? Cuidado. Aseguraos de que no tenéis esa obligación. De lo contrario, podríais recibir una importante sanción.
Y es que muchas empresas que han de contar con un Delegado de Protección de Datos obligatorio ni siquiera son conscientes de ello.
A continuación, hablaremos de esta figura, que nació con el Reglamento de Protección de Datos (RGPD), y de sus funciones.
Detallaremos también la sanción que le han impuesto recientemente a una startup española por no contar con un Delegado de Protección de Datos obligatorio.
Las funciones del Delegado de Protección de Datos
El Delegado de Protección de Datos (DPD o DPO) es la persona responsable de supervisar y monitorizar de forma independiente y confidencial el cumplimiento de la normativa sobre Protección de Datos en la empresa.
Puede ser un empleado de la misma o un profesional externo. En todo caso, ha de tener la formación que establece la AEPD.
El DPD debe informar y asesorar a la empresa sobre las obligaciones que debe cumplir. Colaborar con la autoridad de control (la AEPD) y actúa como punto de contacto para todas las cuestiones relativas a la protección de datos.
El Reglamento de Protección de Datos (RGPD) establece los casos en que ha de existir un Delegado de Protección de Datos obligatorio. Ya los detallamos este artículo de nuestro Blog.
Por ejemplo, hay que contar con un Delegado de Protección de Datos obligatorio si se realizan operaciones de tratamiento de datos personales que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual de interesados a gran escala.
Qué es un tratamiento de datos a gran escala
El tratamiento de datos personales a gran escala no solo lo realizan grandes empresas que obtienen millones de datos de personas en diferentes países. En función del territorio, del tipo de datos y del volumen de interesados, tratar datos a gran escala es mucho más cercano y común de lo que parece.
Ya en el Considerando 91 del RGPD se indica que el tratamiento de datos a gran escala puede ser regional, nacional o supranacional. Por tanto, puede considerarse tratamiento a gran escala el tratamiento de datos dentro de un único país, comunidad autónoma o región.
Debemos prestar atención también al volumen de datos personales que son objeto del tratamiento. Tal como establece la normativa, se consideraría «gran escala» una cantidad considerable de datos personales que pueden afectar a un gran número de interesados.
Resulta claro que debe ser un gran volumen, aunque este concepto es un poco relativo. Si atendemos a las definiciones que hacen las autoridades en materia de Protección de Datos, podemos ver que lo importante es la proporción. Será clave el número de interesados de los cuales se tratan datos, tanto en términos absolutos como en proporción, dentro de una determinada población.
Cuidado porque cualquier empresa o startup puede estar realizando tratamiento de datos a gran escala. Hay que determinarlo y, si es así, necesitará designar un Delegado de Protección de Datos obligatorio.
El caso de Glovo
Vamos a ver ahora un ejemplo cercano del Delegado de Protección de Datos obligatorio, como es el caso de Glovo.
Recientemente, esta startup española fue sancionada por la Agencia Española de Protección de Datos por no haber nombrado un Delegado de Protección de Datos.
La AEPD determinó que Glovo realiza tratamientos de datos a gran escala, pues su actividad se encuadra en lo dispuesto en el artículo 37.1.b del RGPD.
Sin embargo, no contaba con un Delegado de Protección de Datos, lo que era claramente obligatorio.
Glovo intentó recurrir la resolución de la AEPD, pero no tuvo éxito. Tal como se puede ver en la Sentencia de la Audiencia Nacional que resuelve el recurso, se confirma la sanción de la AEPD y, por lo tanto, se condena a Glovo al pago de una multa de 25.000 euros.