Mesa redonda en el ICAS sobre la Proyección del Abogado como DPD

Este martes 23 de enero de 2024 a las 19:00 horas se va a celebrar en la sede del Ilustre Colegio de Abogados de Sevilla (ICAS), sito en la calle Chapineros n.º 6, una mesa redonda sobre ‘La Proyección del Abogado como Delegado de Protección de Datos (DPD): Retos y oportunidades’, que será moderada por el presidente de esta asociación.

Más información e inscripciones para asistencia presencial u online en https://www.icas.es/evento/la-proyeccion-del-abogado-como-delegado-de-proteccion-de-datos-dpd-retos-y-oportunidades.

Los DPD y su protección contra despidos

El Tribunal de Justicia de la Unión Europea (TJUE) ha aclarado recientemente (asunto C‑534/20) que las leyes de los países miembros pueden determinar criterios específicos para el despido de un Delegado de Protección de Datos (DPD) que incluso pueden ser más restrictivos que las directrices del Reglamento General de Protección de Datos (RGPD).

El asunto surgió cuando una empresa recurrió una resolución de un tribunal alemán que había considerado ilegal la terminación del contrato de su DPD. Dicha empresa argumentó que esta decisión estaba basada en una reorganización interna, pero el tribunal alemán insistió en que, conforme a la legislación local, el despido de un DPD solo puede suceder si existe una «razón importante», y una simple reestructuración no se ajusta a ese criterio.

El TJUE subrayó que el RGPD establece que la tarea principal del DPD es asegurar que se cumplan las regulaciones de protección de datos de la Unión Europea o de las leyes nacionales, y que el DPD no puede ser despedido o penalizado simplemente por cumplir con sus responsabilidades.

De acuerdo al RGPD, los DPD, ya sean parte de la organización o externos, deben actuar con plena independencia, ya que esta es crucial para proteger a las personas en la Unión Europea. Aunque el RGPD no busca regular por completo la relación laboral entre el DPD y su empleador, los países miembros pueden establecer reglas más estrictas respecto al despido del DPD, siempre y cuando no contradigan el propósito del RGPD.

Así, el TJUE determinó que el RGPD no se interpone ante leyes nacionales que ponen condiciones más rígidas para el despido de un DPD, siempre que estas no se opongan al espíritu del RGPD.

Por último, es importante destacar que el TJUE ha aclarado que el RGPD cubre cualquier vínculo entre un DPD y la entidad responsable o encargada del tratamiento, sin importar el tipo de relación laboral que tengan, pues las normas se aplican de igual forma si el DPD trabaja directamente para la entidad o si ofrece sus servicios bajo un contrato de prestación de servicios.

Se ha superado el límite de lo humanamente sano para la salud mental del equipo de la AEPD

Según ha publicado este verano el medio Business Insider, la responsable de la AEPD alerta de que se ha superado el límite de lo humanamente sano para la salud mental del equipo.

Mar España, directora de la AEPD, sobre la carga de trabajo del organismo: «Algo tendrá que hacer el nuevo Gobierno que salga del 23J, hay riesgos de colapso». «Y cuando hablamos de proteger un dato no hablamos de una cuestión aséptica: hablamos de proteger a personas en esferas tan importantes como la ideología o la sexualidad».

En ese sentido, la directora de la AEPD cree que el RGPD ha sido «transformador», aunque sí reconoce puntos a mejorar y que confía en que lo harán. El mes pasado, el Comité Europeo de Protección de Datos, el organismo comunitario que aúna a todos los organismos de control nacionales de la Unión, anunció el cambio de presidencia.

Anu Talus, la directora de la agencia de protección de datos finlandesa, asumió entonces el gobierno de esa institución sucediendo a Andrea Jelinek, de la que Mar España solo tiene buenas palabras. «Tengo mucha confianza en que la nueva presidenta finlandesa continuará esa saga de rigor, profesionalidad y seriedad que ha demostrado Andrea en estos años».

«Se han identificado casos estratégicos» con este RGPD, porque «seguramente donde puede darse un impulso es en el funcionamiento del mecanismo de ventanilla única». El mecanismo de ventanilla única es un principio rector de este reglamento que contempla que las autoridades nacionales son las encargadas de abordar las investigaciones de empresas afincadas en su territorio.

El desafío del cuello de botella en el mecanismo de ventanilla única

Lo que sucede en la Unión Europea es que las grandes tecnológicas concentran la sede social y fiscal de sus filiales continentales en países como Irlanda, provocando que la Comisión de Protección de Datos de ese país, organismo análogo a la AEPD de España, tengan que enfrentarse a un sinfín de casos. Organismos de derechos civiles han denunciado que se ha originado un «cuello de botella».

«Todo se mejora aprendiendo y desde los errores». España asegura entender y tener su respeto por «el desafío tan importante» que ha supuesto la aplicación del RGPD para la autoridad irlandesa. Al mismo tiempo, abunda en que muchas de las decisiones que se adoptan con estas grandes multinacionales tecnológicas acaban siendo, en realidad, colectivas.

«La reciente sanción a Meta de más de 1.200 millones de euros», recuerda España, nació de las objeciones de 3 autoridades nacionales —entre ellas, la española— después de que Irlanda propusiese una resolución sin multa económica.

«La presidenta anterior del Comité Europeo de Protección de Datos, Andrea Jelinek, nos reunió a todos los comisionados en Austria y decidimos por común acuerdo y unanimidad identificar los casos estratégicos para poder actuar de manera coordinada y prioritaria, y eso está empezando a dar sus frutos», apostilla la directora de la Agencia Española de Protección de Datos.

ChatGPT

Otro ejemplo concreto es el requerimiento que Garante, la autoridad italiana de protección de datos, remitió a OpenAI, la compañía detrás del popular ChatGPT. En consecuencia de aquel requerimiento de información, OpenAI bloqueó el acceso a ChatGPT en Italia durante unas semanas. Los medios aseguraron entonces que Italia había bloqueado el chatbot, una aseveración matizable.

La propia AEPD propuso en un plenario del Comité Europeo de Protección de Datos abordar esas pesquisas sobre ChatGPT de forma coordinada. En palabras de España, «es bueno que las tecnológicas sientan esa coherencia y esa presión global. Que no vaya una autoridad de protección de datos por delante, que vayamos todas».

Labor de la AEPD

A nivel comunitario, la agencia española ha demostrado músculo. Es la autoridad nacional que más sanciones ha propuesto. «Las resoluciones de la AEPD son el 40% del volumen total», corrobora España. «Eso no implica que representen el 40% del importe total de las multas. Si comparamos el importe con las que han puesto nuestros colegas europeos estamos entre el 2% y el 3%».

Nuevamente, esta variación se explica con el hecho de que las grandes tecnológicas se concentran en otros países como Irlanda, y muchas de las sanciones que estipula el RGPD son en función del volumen de facturación de las compañías que puedan haber vulnerado el reglamento.

Pero, ¿por qué España eleva más resoluciones? La respuesta podría estar en el derecho nacional, que obliga a la AEPD a estudiar el 100% de las reclamaciones que recibe. «Otras autoridades nacionales, por la información que tengo, tienen más capacidad de discriminar».

Con todo, y más allá de las resoluciones —que es una de las labores más visibles de la AEPD—, el organismo ya está «muy por encima del esfuerzo humano que se podría haber hecho». La propia directora de la AEPD abundó en la primera entrega de esta entrevista que el organismo corre el riesgo de colapsar de no recibir más recursos.

«En estos 8 años se han publicado más de 100 guías y herramientas a coste cero. Se puede dar de sí hasta donde se llega. Mi obligación es decir que se ha superado el límite de lo humanamente sano para la salud mental del equipo que trabaja en la AEPD».

De esta forma, Mar España defiende la gestión de la AEPD con estos 5 primeros años de Reglamento de Protección de Datos. Sin él, el mundo digital «seguramente sería mucho más invasivo, no habría ni límites ni garantías». «La AEPD protege a las personas en su individualidad, lo más esencial de nosotros es nuestra identidad ideológica, sexual o religiosa. Nuestras comunicaciones íntimas».

«Nunca hasta ahora en la historia de la humanidad habíamos estado tan conectados pero al mismo tiempo tan vulnerables e influenciables. Es esencial que existan organismos como este». Aunque España cree que no todo puede recaer en el peso de la AEPD y agencias análogas. «Deberían existir pactos de Estado en materia de protección a las personas en el mundo digital».

La directora de la AEPD pone énfasis en la protección de la infancia o de la salud mental. «Debería empezar a trabajarse sobre temas que ya superan un poco en competencias a la AEPD, como salud digital y sus efectos en la salud mental». «La tecnología es maravillosa, gracias al mundo digital conseguimos no sentir soledad durante el confinamiento que fue tan duro», reconoce.

Un organismo todavía pendiente de renovación

España llegó a la dirección de la AEPD en 2015 y su mandato se ha venido prorrogando, primero, por el adelanto y luego la repetición electoral de 2019. Después, por los desencuentros entre los candidatos a ocupar la nueva presidencia del organismo, cuyos nuevos estatutos ya publicó el BOE hace unos años.

Ante ello, la todavía directora de la AEPD asevera que no le corresponde juzgar y que por supuesto acataron la sentencia del Tribunal Supremo que declaró la nulidad del procedimiento. «La AEPD mantuvo una actitud imparcial, neutra y discreta» ante el debate que se generó en los medios.

Pero sí cree que «es bueno» que las instituciones se renueven. «Desde el minuto uno me puse a disposición. Mi mandato era de 4 años y pedí que no hubiera transitoria para que no se ampliara a 5. Por circunstancias lamentablemente ajenas a mi voluntad se ha acabado ampliando a 8, pero creo que la independencia de la AEPD está fuera de toda duda».

«Lo que sí puedo transmitir es un mensaje alto y claro. La AEPD sigue funcionando a pleno rendimiento, pero confiando en que su renovación se pueda producir en un plazo de tiempo relativamente corto».

Ver noticia completa en fuente original: https://www.businessinsider.es/aepd-limite-equipo-hace-humanamente-posible-rgpd-1256442

El Consejo de Transparencia y Protección de Datos de Andalucía inicia un procedimiento sancionador contra el Ayuntamiento de Camas por incumplimiento del RGPD

El Consejo de Transparencia y Protección de Datos de Andalucía ha decidido comenzar un procedimiento sancionador contra el Ayuntamiento de Camas, ubicado en la provincia de Sevilla, debido a la falta de un delegado de protección de datos designado, según informa una resolución emitida el pasado 3 de marzo. Este cargo es obligatorio según el Reglamento General de Protección de Datos (RGPD).

La resolución se produce tras una reclamación interpuesta en contra del Ayuntamiento, que denuncia un posible incumplimiento de la normativa de protección de datos personales. La figura del delegado de protección de datos es crucial en la garantía del cumplimiento de las obligaciones establecidas en la normativa de protección de datos y en la supervisión de las actividades relacionadas con el tratamiento de datos personales.

Por su parte, el Ayuntamiento de Camas ha informado que, en sus últimos tres proyectos presupuestarios, se contempló la contratación de una persona encargada de asumir las funciones de delegado de protección de datos. Actualmente, el consistorio se encuentra en proceso de licitación para la contratación de dicho profesional, habiendo enfrentado ciertos contratiempos en el ámbito administrativo.

El procedimiento que enfrenta el Ayuntamiento de Camas es un recordatorio de la importancia de cumplir con las normativas de protección de datos y de la responsabilidad que recae en las instituciones públicas para garantizar la seguridad y privacidad de la información de los ciudadanos. Es fundamental que las instituciones responsables de la protección de datos personales garanticen el cumplimiento de las regulaciones, a fin de proteger la privacidad y los derechos de los ciudadanos.

Se espera que en las próximas semanas se conozcan más detalles acerca de las acciones que tomará el Consejo de Transparencia y Protección de Datos de Andalucía en relación al caso del Ayuntamiento de Camas.

25.000 euros de multa por no contar con un DPD

La Audiencia Nacional ha confirmado la multa impuesta a la empresa de servicios de mensajería Glovo por la Agencia Española de Protección de Datos (AEPD) por no contar con un delegado de protección de datos (DPD). La sanción, de 25.000 euros, fue impuesta por la AEPD en agosto de 2020 por no disponer de una figura física o jurídica a la que dirigir las reclamaciones relacionadas con la protección de datos personales de los usuarios de la plataforma.

Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional en contra de esta resolución, alegando que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía a nadie nombrado en ese puesto. La empresa manifestó que de 2014 a 2018 la función de protección de datos la realizaba el servicio jurídico de la compañía y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.

La Audiencia Nacional ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos «son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia». Por tanto, se exige que la empresa efectúe un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en el ejercicio de su actividad.

Además, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos, y que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la aplicación. Por tanto, la falta de un delegado de protección de datos supone una infracción del RGPD y LOPDGDD.

Es importante recordar que la figura del DPD, que puede ser una persona física o jurídica, está establecida en el artículo 37 del RGPD y es una figura clave en la protección de datos personales, ya que es la encargada de garantizar que el tratamiento de los datos personales se realiza de forma adecuada y de recibir y atender las reclamaciones de los usuarios en relación con la protección de sus datos personales.

La AEPD examinará si las designaciones de los DPD en España se ajusta a lo requerido por el RGPD

El Comité Europeo de Protección de Datos (CEPD), un organismo europeo que aglutina a las autoridades de control de protección de datos en Europa, ha anunciado una acción coordinada a nivel europeo en la que participará la Agencia Española de Protección de Datos (AEPD) junto con otras 26 autoridades de control nacionales, el Supervisor Europeo de Protección de Datos (SEPD) y las autoridades de Islandia, Liechtenstein y Noruega.

El objetivo de esta acción es examinar el papel de los delegados de protección de datos (DPD) en organismos públicos y privados. La figura de DPD está amparada por la legislación nacional y europea, y miles de entidades están obligadas a nombrar a una persona que asuma sus tareas. Sin embargo, desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) en 2018, muchas empresas y administraciones han nombrado a un DPD solo para cumplir con el requisito legal, sin que en muchos casos las personas designadas sean profesionales competentes en la materia o con conocimientos suficientes en la misma, lo que se conoce popularmente como «encasquetamiento».

El CEPD ha destacado la importancia de los delegados de protección de datos como intermediarios entre autoridades de control, ciudadanos y negocios, y ha señalado que juegan un papel esencial en el cumplimiento de las leyes de protección de datos y en la promoción de los derechos de los usuarios sobre sus datos personales.

En el marco de esta acción coordinada, las autoridades de control nacionales enviarán cuestionarios a las entidades afectadas para evaluar si la situación de los delegados en sus organizaciones se ajusta a lo requerido en el RGPD. La AEPD, en concreto, analizará las prácticas de más de 30.000 entidades del sector público y privado, en distintos sectores de actividad como la educación, la banca y finanzas, la sanidad, la energía, la seguridad, las telecomunicaciones, los créditos, los juegos de azar y las apuestas.

Los cuestionarios buscarán determinar si estas empresas privadas u organismos públicos tienen conocimiento y experiencia al designar a sus delegados de protección de datos, y si conocen sus tareas y recursos, así como su papel y posición en sus organigramas. Los resultados de esta acción se analizarán de manera coordinada, y las autoridades de protección de datos podrán decidir acciones adicionales de supervisión y aplicación en función de esos resultados, que serán agregados, generando una visión más amplia y permitiendo un seguimiento específico del tema.

Fuente original: https://lopezdelemus.com/la-aepd-examinara-si-las-designaciones-de-los-dpd-en-espana-se-ajusta-a-lo-requerido-por-el-rgpd

¿Es el correo “dpd” un dato personal?

Muchas personas se cuestionan si la dirección de correo electrónico de un delegado de protección de datos, que normalmente empiezan por “dpd” o “dpo”, es por sí sola un dato de carácter personal.

Aunque pueda pensarse que esta cuestión es irrelevante, en algunas ocasiones puede tener una gran importancia, ya que de la respuesta a esta cuestión dependerá si se aplica o no la normativa de protección de datos y su régimen sancionador.

Por ejemplo, si alguien se dedicara a recopilar direcciones de correo “dpd” para enviarles publicidad online, además de estar infringiendo el artículo 21 de la LSSI podría estar infringiendo el RGPD y la LOPDGDD, siempre que esta dirección sea considerada un dato personal.

Volviendo a la cuestión planteada; partiendo del criterio imperante de que una dirección de correo electrónico perteneciente a una persona física será un dato personal y una dirección de correo institucional, como las que comienzan por “info”, no será un dato personal, podría pensarse que la dirección “dpd” pertenece a un órgano de la entidad y que por tanto no es un dato personal.

Sin embargo, la respuesta correcta sería la contraria: una dirección de correo “dpd” sí es un dato de carácter personal. Con buen criterio, así lo ha declarado la AEPD en un procedimiento sancionador a Vodafone España, en la que se le ha impuesto una multa de 50.000 euros por la infracción del artículo de artículo 21 del RGPD, al no gestionar correctamente del derecho de oposición ejercido por el reclamante; y otra multa de 20.000 euros por la infracción del artículo de artículo 21 del LSSI, por su responsabilidad en el envío de correos electrónicos publicitarios sin el consentimiento preceptivo del destinatario, aunque lo hiciera a través de una empresa interpuesta.

Vodafone España alegó en este procedimiento que la dirección de correo electrónico “dpd” no podía ser considerada como dato personal, no aplicando por lo tanto el RGPD. En este sentido, indicó que la Comisión Europea, en su página web oficial informa de que una dirección de correo electrónico que cumpla el formato “info@empresa.com”, no debe de considerarse como dato personal. Además, señaló que este formato de dirección de correo electrónico que no es considerado como dato personal por parte de la Comisión Europea tiene una estructura idéntica a la del correo “dpd”.

Sin embargo, la AEPD ha aclarado que el formato “info” no identifica a ninguna persona o cargo de la empresa en particular, sino que hace referencia a una dirección de correo electrónico genérica donde, en principio, cualquier usuario o empleado de esta tiene acceso, como podría ser también formatos como “RRH”, “Contabilidad, o “repuestos”, pero cuando la dirección de correo electrónico de una entidad es utilizada por un solo empleado, pudiéndose identificar directa o indirectamente con el nombre, con determinados dígitos o con el cargo que ocupa, como en este caso que indica que pertenece al delegado de protección de datos, se considera dato personal a todos los efectos.

En definitiva, una dirección de correo electrónico del tipo “dpd” sí es un dato personal por sí misma, es decir, sin necesidad de tratar otros datos de ese delegado de protección de datos.

Fuente original: https://lopezdelemus.com/es-el-correo-dpd-un-dato-personal