El pasado 10 de septiembre de 2021 la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 10.000 euros a una empresa por una infracción del artículo 37 del Reglamento General de Protección de Datos (RGPD) y del artículo 34.1. n) de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), al no contar con la figura del delegado de Protección de Datos.
En la Resolución PS/00231/2021 dictada por la AEPD consta que la conducta de la reclamada no es acorde a la normativa de protección de datos, ya que la falta de la designación del Delegado de Protección de Datos (DPD), al dedicarse juegos online, como bien se indica en su página web, estaría suponiendo la vulneración del artículo 37.1.b) del RGPD.
El artículo 37 del RGPD establece que el responsable y el encargado de tratamiento de datos personales deben designar un delegado de protección de datos, cuando concurran alguna de las siguientes circunstancias:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial, como puede ser un ayuntamiento o una empresa pública;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, como puede ser empresas de marketing digital, bigdata, grandes superficies comerciales, etc.;
c) las actividades principales del responsable o del encargado consistan en el tratamiento de categorías especiales de datos personales especialmente sensibles, es decir, datos de origen étnico o racial, opiniones políticas, afiliación sindical, datos genéticos o datos biométricos dirigidos a identifica una persona, o datos relativos a condenas e infracciones penales, entre otros.
Por todo ello, todas aquellas empresas que cumplan con uno de estos requisitos deberán proceder a la designación de la figura del delegado de protección de datos. Para ello, es necesario contar con abogados especialistas en materia de protección de datos, que puedan asesorar respecto a la necesidad de esta figura y ejercerla a su vez, con el objetivo de evitar cualquier tipo de sanción por la AEPD y a su vez, velar por el cumplimiento de la normativa de protección de datos.