La Agencia Española de Protección de Datos sanciona a un Ayuntamiento por no disponer de Delegado de Protección de Datos en virtud del art. 37 RGPD, tipificada en el art. 83.4 RGPD.
El 25 de junio de 2021 la AEPD dictó resolución PS/00079/2021 por la que requería al Ayuntamiento a nombrar Delegado de Protección de Datos “en el plazo de un mes a contar desde la notificación de esta Resolución”, transcurrido el plazo concedido sin que el Ayuntamiento hubiere comunicado a la Agencia dicha designación, la AEPD requirió al Ayuntamiento hasta en dos ocasiones, una en noviembre de 2021 y otra en febrero de 2022.
El Ayuntamiento no se pronunció en ninguno de ellos, por lo que no ha informado sobre las medidas llevadas a cabo, lo que ha motivado que el pasado 29 de marzo de 2022, la Directora de la Agencia Española de Protección de Datos, iniciase un procedimiento sancionador contra el consistorio por presunta infracción del Art. 58.2 RGPD, cuya tipificación viene recogida en el art. 83.6 RGPD, lo que ha dado lugar a una nueva resolución PS/00131/2022.
Ante la sucesivas omisiones por parte de la Entidad Local, el procedimiento sancionador iniciado de oficio por la Directora de la AEPD -en virtud de los poderes de autoridad y control que se le encomiendan-, ha finalizado en resolución desfavorable dado que “la parte reclamada no ha presentado alegaciones al acuerdo de inicio de este procedimiento sancionador dentro del plazo señalado para ello”, asimismo, es evidente que el Ayuntamiento ha incumplido la resolución primitiva (79/2021), incumplimiento que es constitutivo de una nueva infracción tipificada en el art. 83.6 RGPD: “El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, si bien, prosigue afirmando que al tratarse de una entidad local, en virtud del art. 77 LOPDGDD se dictará una resolución de sanción de apercibimiento, en la que volverá a solicitarse al consistorio para que adopte las medidas que procedan “para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”.
Por todo ello, la AEPD ha impuesto dos sanciones de apercibimiento a un Ayuntamiento, una por no cumplir con su obligación de designar DPD y no notificarlo a la AEPD, y otra por hacer caso omiso a los continuos avisos de la AEPD, requiriéndole nuevamente a que proceda al nombramiento de Delegado de Protección de datos en el plazo de un mes a contar desde la notificación de esta nueva resolución, publicada el 26 de julio de 2022. Si no lo hace, la AEPD advierte que puede ser considerado como una infracción administrativa que daría lugar al inicio de un procedimiento administrativo sancionador.
En definitiva, aquellos Ayuntamientos que todavía no hayan designado su Delegado de Protección de Datos deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de Administraciones Públicas a la normativa de protección de datos, así como la prestación del servicio de DPD externo en Ayuntamientos.