La AEPD obliga a dos Ayuntamientos a nombrar DPD

La Agencia Española de Protección de Datos (en adelante, AEPD) ha requerido a dos Ayuntamientos, uno de la provincia de León y otro de Valencia, para que, en el plazo de un mes nombren a su Delegado de Protección de Datos (en adelante, DPD) y lo acrediten ante la Agencia.

La AEPD en sus Resoluciones PS-00383-2022 EXP202207949 y PS-00386-2022 EXP202207953, ambas de octubre de 2022, ha resuelto de manera idéntica la falta de Delegado de Protección de Datos en dos Ayuntamientos entre los que dista, ni más ni menos que 700 km, lo que deja entrever que, aún a día de hoy, numerosos consistorios siguen sin cumplir con el Reglamento General de Protección de Datos (en adelante, RGPD), de obligatorio cumplimiento en nuestro país desde el 25 de mayo de 2018, y con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPDGDD).

Los hechos son prácticamente idénticos, aunque analizaremos las resoluciones por separado:

• El Ayuntamiento de San Andrés de Rabanedo ha sido notificado por la AEPD hasta en dos ocasiones (17 de febrero de 2022 y 26 de abril de 2022) “recordando la obligación de designar DPD y comunicarlo a la autoridad de control, de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (RGPD), y otorgando el plazo de 10 días para que realizara la preceptiva comunicación, sin que se haya recibido respuesta a ninguna de las dos notificaciones, y se advertía que “el incumplimiento podría dar lugar al ejercicio de las potestades de investigación y sancionadoras de esta Agencia”. El 18 de julio de 2022, se consultó la lista de delegados de protección de datos comunicados a la AEPD utilizando el NIF del Ayuntamiento, con resultado negativo, dos días después, se acordó iniciar el procedimiento sancionador, y dado que el Ayuntamiento “no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución”.
• El Ayuntamiento de Moncada ha sido notificado por la AEPD hasta en dos ocasiones (17 de febrero de 2022 y 26 de abril de 2022) “recordando la obligación de designar DPD y comunicarlo a la autoridad de control, de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (RGPD), y otorgando el plazo de diez días para que realizara la preceptiva comunicación, sin que se haya recibido respuesta a ninguna de las dos notificaciones”, y se advertía que “el incumplimiento podría dar lugar al ejercicio de las potestades de investigación y sancionadoras de esta Agencia”. El 18 de julio de 2022, se consultó la lista de delegados de protección de datos comunicados a la AEPD utilizando el NIF del Ayuntamiento, con resultado negativo, dos días después, se acordó iniciar el procedimiento sancionador, y dado que el Ayuntamiento “no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución”.

La obligación de los Ayuntamientos de designar Delegado de Protección de Datos tiene su razón en el artículo 37 del RGPD; por su parte, la LOPDGDD dedica su artículo 34 a la “Designación de un delegado de protección de datos”.

El incumplimiento del art. 37 RGPD, tipificada en el artículo 83.5 b) del RGPD, confirma que puede ser sancionado “con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

Por su parte, el art. 71 LOPDGDD confirma que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”, este tipo de infracciones están calificadas como graves, en virtud del art. 73 de la LOPDGDD. Al ser una Administración Pública, sin perjuicio de lo establecido en el artículo 83 RGPD, la LOPDGDD en su artículo 77 contempla “la posibilidad de acudir a la sanción de apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones, cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica”.

Por último, la AEPD, en las dos resoluciones, ha apercibido a los Ayuntamientos y ha adoptado medidas, al requerir a los Ayuntamientos a que, en el plazo de un mes, designen a sus respectivos DPD. Asimismo, advierte que de “no atender a los requerimientos de este organismo puede ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador”.

En definitiva, queda patente que numerosos Ayuntamientos todavía no han designado a su Delegado de Protección de Datos, y no se ha dado de alta en el listado acreditado de la AEPD, en cuyo caso vemos que es altamente probable que la AEPD les sancione, si bien, están a tiempo de evitarlo si actúan con rapidez contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de Administraciones Públicas a la normativa de protección de datos, así como la prestación del servicio de DPD externo en Ayuntamientos.