La AEPD refuerza el rol esencial del Delegado de Protección de Datos

En el contexto actual, donde los datos personales son uno de los activos más valiosos para empresas y organizaciones, el cumplimiento de la normativa de protección de datos se ha vuelto imprescindible. En este escenario, la figura del Delegado de Protección de Datos (DPD) desempeña un papel clave. Sin embargo, muchas entidades desconocen en qué consiste este rol, sus responsabilidades y la relevancia de su correcta designación. Esto ha llevado a situaciones en las que, pese a que se declara en documentos oficiales la existencia de un DPD, no se han cumplido las obligaciones reales asociadas a su figura.

La Agencia Española de Protección de Datos (AEPD) ha tenido que intervenir en varias ocasiones recientes, emitiendo resoluciones y sanciones que evidencian la importancia de contar con un DPD. Estas decisiones ponen de manifiesto cómo su ausencia o una designación inadecuada puede tener consecuencias legales y financieras significativas. A continuación, analizaremos tres casos recientes: IDFINANCE, el Ayuntamiento de Telde y UBRIQUE D&A, cada uno de los cuales ilustra diferentes aspectos críticos del rol del DPD en el cumplimiento del Reglamento General de Protección de Datos (RGPD).

Caso IDFINANCE: Multa de 225.000 € por negligencia en la gestión de datos y el DPD

Uno de los casos más destacados es el de IDFINANCE, una entidad financiera que fue sancionada con 225.000 € por múltiples infracciones relacionadas con el tratamiento de datos personales y la ausencia de una correcta comunicación sobre su DPD. Este caso se originó en marzo de 2020, cuando un tercero utilizó los datos personales de una mujer para abrir una cuenta en la plataforma Moneyman, propiedad de IDFINANCE, sin su consentimiento.

La afectada descubrió la situación al recibir una carta en la que se le reclamaba una deuda por un préstamo que nunca había solicitado. Aunque la empresa afirmaba contar con el consentimiento de la reclamante, no logró demostrarlo, lo que llevó a la AEPD a detectar varias irregularidades graves:

Falta de legitimación en el tratamiento de datos: La inclusión de los datos de la afectada en un fichero de solvencia se consideró ilícita, ya que no había evidencia de que hubiera contratado o solicitado el crédito.

No atención al derecho de supresión: Pese a las solicitudes de la afectada para que sus datos fueran eliminados, IDFINANCE no actuó con diligencia, atribuyendo su falta de acción a errores técnicos.

No comunicación del DPD: Como entidad financiera, IDFINANCE tenía la obligación de designar y comunicar la identidad de su DPD a la AEPD, lo que no se cumplió.

La resolución de la AEPD estableció una sanción total de 225.000 €, desglosada en 100.000 € por la falta de legitimación en el tratamiento, 100.000 € por no atender el derecho de supresión y 25.000 € por no comunicar el nombramiento del DPD. Este caso pone de relieve que contar con un DPD competente es crucial para garantizar el tratamiento adecuado de los datos y cumplir con las normativas aplicables.

Caso Ayuntamiento de Telde: Triple sanción por reconocimiento facial sin EIPD ni participación del DPD

Otro caso significativo es el del Ayuntamiento de Telde, que implementó un sistema de control horario basado en reconocimiento facial sin llevar a cabo una Evaluación de Impacto en Protección de Datos (EIPD) ni consultar a su DPD, incurriendo en múltiples infracciones.

El sistema, diseñado para gestionar los fichajes de los empleados municipales, fue cuestionado por un trabajador de la policía local, quien presentó una reclamación ante la AEPD. Al investigar, la Agencia identificó las siguientes irregularidades:

No realización de una EIPD: El uso de tecnologías como el reconocimiento facial, que implica el tratamiento de datos biométricos altamente sensibles, requiere una evaluación previa para identificar y mitigar riesgos. El Ayuntamiento no cumplió con esta obligación.

Tratamiento ilícito de datos biométricos: Según el RGPD, el tratamiento de este tipo de datos solo está permitido bajo condiciones específicas, como el consentimiento explícito o excepciones justificadas, ninguna de las cuales se acreditó en este caso.

No participación del DPD: La normativa exige que el DPD sea consultado en decisiones relacionadas con la protección de datos, especialmente en contextos de alto riesgo. El Ayuntamiento no solicitó su intervención.

La AEPD emitió un apercibimiento al Ayuntamiento, señalando la necesidad de cumplir estrictamente con las disposiciones legales. Este caso destaca la importancia de involucrar activamente al DPD en la implementación de tecnologías que procesan datos personales, particularmente cuando estos datos son sensibles.

Caso UBRIQUE D&A: Apercibimiento por publicar imágenes de un menor sin consentimiento

El caso de UBRIQUE D&A, una tienda que publicó en su página de Facebook imágenes de un menor acusándolo de robo, refleja las consecuencias de no gestionar adecuadamente la protección de datos, incluso en el contexto de pequeñas y medianas empresas. La madre del menor presentó una reclamación ante la AEPD, argumentando que no se había obtenido su consentimiento para la publicación de las imágenes.

Aunque la tienda eliminó las imágenes tras la queja, la AEPD concluyó que se había infringido el artículo 6.1 del RGPD, que exige el consentimiento claro y explícito para tratar datos personales, especialmente en el caso de menores. A raíz de esta situación, UBRIQUE D&A adoptó medidas para mejorar su cumplimiento, como la designación de un DPD y la implementación de auditorías periódicas para detectar y corregir deficiencias en la gestión de datos.

La AEPD optó por un apercibimiento en lugar de una sanción económica, valorando las acciones correctivas tomadas por la tienda. Este caso subraya que, incluso en empresas pequeñas, contar con un DPD puede marcar la diferencia al implementar políticas proactivas de protección de datos.

Conclusiones

Los tres casos analizados reflejan cómo la figura del Delegado de Protección de Datos es crucial para garantizar el cumplimiento del RGPD y mitigar riesgos legales y financieros. La ausencia de un DPD o su inadecuada participación puede llevar a sanciones severas, como las impuestas a IDFINANCE y al Ayuntamiento de Telde, mientras que su implementación proactiva, como en el caso de UBRIQUE D&A, puede mejorar significativamente la gestión de datos y la confianza de los usuarios.

El DPD no solo es un requisito legal para muchas organizaciones, sino que también constituye un pilar fundamental en la construcción de una cultura de respeto hacia los datos personales. En un entorno donde la información es un recurso clave, las empresas y entidades públicas deben tomarse en serio la designación de un DPD y su papel activo en la protección de datos.

Cumplir con las normativas de protección de datos no es solo una obligación legal, sino una inversión en la confianza y la seguridad de las personas cuyas vidas están, en última instancia, impactadas por el tratamiento de sus datos personales.