Listado de la etiqueta: DPD

Designación y posición de los DPD

El Comité Europeo de Protección de Datos (CEPD) ha divulgado los hallazgos de su última acción centrada en la evaluación del rol y designación de los delegados de protección de datos (DPD) tanto en el ámbito público como en el privado.

Este análisis tiene por objetivo identificar y promover las mejores prácticas, señalar deficiencias y emitir recomendaciones que refuercen la posición y eficacia de los DPD, figuras clave en la interacción entre las autoridades supervisoras, la ciudadanía y las organizaciones. En el estudio participaron 25 autoridades nacionales de protección de datos, cubriendo sectores tan diversos como la educación, la banca, la salud, la energía, la seguridad, las telecomunicaciones, el crédito y los juegos de azar.

El informe destaca varias recomendaciones:

  • Designación de DPD: Se urge a las autoridades a fomentar la concienciación sobre la obligación de designar DPD, proveyendo guías y realizando campañas de sensibilización.
  • Recursos para DPD: Los organizadores deben asegurar que los DPD dispongan de los medios necesarios para cumplir con sus funciones de manera efectiva, incluyendo la verificación del número de clientes que un DPD externo pueda tener.
  • Formación de DPD: Se recomienda proveer formación adicional a los DPD, adaptada a las necesidades específicas y mantener su formación al día.
  • Independencia de los DPD: Se debería promover una clara separación de funciones para evitar conflictos de interés, y garantizar que los DPD puedan actuar con independencia dentro de las organizaciones.
  • Mecanismos de reporte: Se sugiere mejorar los mecanismos mediante los cuales los DPD reportan a los niveles más altos de la organización, estableciendo estándares y políticas internas claras.

Ver análisis completo: https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

25.000 euros de multa por no contar con un DPD

La Audiencia Nacional ha confirmado la multa impuesta a la empresa de servicios de mensajería Glovo por la Agencia Española de Protección de Datos (AEPD) por no contar con un delegado de protección de datos (DPD). La sanción, de 25.000 euros, fue impuesta por la AEPD en agosto de 2020 por no disponer de una figura física o jurídica a la que dirigir las reclamaciones relacionadas con la protección de datos personales de los usuarios de la plataforma.

Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional en contra de esta resolución, alegando que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía a nadie nombrado en ese puesto. La empresa manifestó que de 2014 a 2018 la función de protección de datos la realizaba el servicio jurídico de la compañía y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.

La Audiencia Nacional ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos «son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia». Por tanto, se exige que la empresa efectúe un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en el ejercicio de su actividad.

Además, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos, y que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la aplicación. Por tanto, la falta de un delegado de protección de datos supone una infracción del RGPD y LOPDGDD.

Es importante recordar que la figura del DPD, que puede ser una persona física o jurídica, está establecida en el artículo 37 del RGPD y es una figura clave en la protección de datos personales, ya que es la encargada de garantizar que el tratamiento de los datos personales se realiza de forma adecuada y de recibir y atender las reclamaciones de los usuarios en relación con la protección de sus datos personales.

La AEPD examinará si las designaciones de los DPD en España se ajusta a lo requerido por el RGPD

El Comité Europeo de Protección de Datos (CEPD), un organismo europeo que aglutina a las autoridades de control de protección de datos en Europa, ha anunciado una acción coordinada a nivel europeo en la que participará la Agencia Española de Protección de Datos (AEPD) junto con otras 26 autoridades de control nacionales, el Supervisor Europeo de Protección de Datos (SEPD) y las autoridades de Islandia, Liechtenstein y Noruega.

El objetivo de esta acción es examinar el papel de los delegados de protección de datos (DPD) en organismos públicos y privados. La figura de DPD está amparada por la legislación nacional y europea, y miles de entidades están obligadas a nombrar a una persona que asuma sus tareas. Sin embargo, desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) en 2018, muchas empresas y administraciones han nombrado a un DPD solo para cumplir con el requisito legal, sin que en muchos casos las personas designadas sean profesionales competentes en la materia o con conocimientos suficientes en la misma, lo que se conoce popularmente como «encasquetamiento».

El CEPD ha destacado la importancia de los delegados de protección de datos como intermediarios entre autoridades de control, ciudadanos y negocios, y ha señalado que juegan un papel esencial en el cumplimiento de las leyes de protección de datos y en la promoción de los derechos de los usuarios sobre sus datos personales.

En el marco de esta acción coordinada, las autoridades de control nacionales enviarán cuestionarios a las entidades afectadas para evaluar si la situación de los delegados en sus organizaciones se ajusta a lo requerido en el RGPD. La AEPD, en concreto, analizará las prácticas de más de 30.000 entidades del sector público y privado, en distintos sectores de actividad como la educación, la banca y finanzas, la sanidad, la energía, la seguridad, las telecomunicaciones, los créditos, los juegos de azar y las apuestas.

Los cuestionarios buscarán determinar si estas empresas privadas u organismos públicos tienen conocimiento y experiencia al designar a sus delegados de protección de datos, y si conocen sus tareas y recursos, así como su papel y posición en sus organigramas. Los resultados de esta acción se analizarán de manera coordinada, y las autoridades de protección de datos podrán decidir acciones adicionales de supervisión y aplicación en función de esos resultados, que serán agregados, generando una visión más amplia y permitiendo un seguimiento específico del tema.

Fuente original: https://lopezdelemus.com/la-aepd-examinara-si-las-designaciones-de-los-dpd-en-espana-se-ajusta-a-lo-requerido-por-el-rgpd

¿Es el correo “dpd” un dato personal?

Muchas personas se cuestionan si la dirección de correo electrónico de un delegado de protección de datos, que normalmente empiezan por “dpd” o “dpo”, es por sí sola un dato de carácter personal.

Aunque pueda pensarse que esta cuestión es irrelevante, en algunas ocasiones puede tener una gran importancia, ya que de la respuesta a esta cuestión dependerá si se aplica o no la normativa de protección de datos y su régimen sancionador.

Por ejemplo, si alguien se dedicara a recopilar direcciones de correo “dpd” para enviarles publicidad online, además de estar infringiendo el artículo 21 de la LSSI podría estar infringiendo el RGPD y la LOPDGDD, siempre que esta dirección sea considerada un dato personal.

Volviendo a la cuestión planteada; partiendo del criterio imperante de que una dirección de correo electrónico perteneciente a una persona física será un dato personal y una dirección de correo institucional, como las que comienzan por “info”, no será un dato personal, podría pensarse que la dirección “dpd” pertenece a un órgano de la entidad y que por tanto no es un dato personal.

Sin embargo, la respuesta correcta sería la contraria: una dirección de correo “dpd” sí es un dato de carácter personal. Con buen criterio, así lo ha declarado la AEPD en un procedimiento sancionador a Vodafone España, en la que se le ha impuesto una multa de 50.000 euros por la infracción del artículo de artículo 21 del RGPD, al no gestionar correctamente del derecho de oposición ejercido por el reclamante; y otra multa de 20.000 euros por la infracción del artículo de artículo 21 del LSSI, por su responsabilidad en el envío de correos electrónicos publicitarios sin el consentimiento preceptivo del destinatario, aunque lo hiciera a través de una empresa interpuesta.

Vodafone España alegó en este procedimiento que la dirección de correo electrónico “dpd” no podía ser considerada como dato personal, no aplicando por lo tanto el RGPD. En este sentido, indicó que la Comisión Europea, en su página web oficial informa de que una dirección de correo electrónico que cumpla el formato “info@empresa.com”, no debe de considerarse como dato personal. Además, señaló que este formato de dirección de correo electrónico que no es considerado como dato personal por parte de la Comisión Europea tiene una estructura idéntica a la del correo “dpd”.

Sin embargo, la AEPD ha aclarado que el formato “info” no identifica a ninguna persona o cargo de la empresa en particular, sino que hace referencia a una dirección de correo electrónico genérica donde, en principio, cualquier usuario o empleado de esta tiene acceso, como podría ser también formatos como “RRH”, “Contabilidad, o “repuestos”, pero cuando la dirección de correo electrónico de una entidad es utilizada por un solo empleado, pudiéndose identificar directa o indirectamente con el nombre, con determinados dígitos o con el cargo que ocupa, como en este caso que indica que pertenece al delegado de protección de datos, se considera dato personal a todos los efectos.

En definitiva, una dirección de correo electrónico del tipo “dpd” sí es un dato personal por sí misma, es decir, sin necesidad de tratar otros datos de ese delegado de protección de datos.

Fuente original: https://lopezdelemus.com/es-el-correo-dpd-un-dato-personal

Sancionado un ayuntamiento por no nombrar DPD

El Ayuntamiento de Huercal estaba obligado a nombrar un DPD ya que es una autoridad u organismo público. Indica la AEPD en su Resolución del Procedimiento Sancionador que la modalidad de contratación, nombramiento y relación laboral es muy amplia, y que puede elegirse lo más adecuado para su concreta situación.

Además, recuerda que el RGPD entró en vigor el día 25 de mayo de 2016, si bien no fue aplicable hasta dos años después, y que en ese periodo de tiempo debería de haber adecuado sus tratamientos a la nueva normativa, pero este Ayuntamiento, un año y medio después de ese periodo de adaptación, aun no había nombrado un DPD.

Por todo ello, dado que el Ayuntamiento de Huercal ha incumplido la obligación establecida en el artículo 37 del RGPD y sancionada en el artículo 83.4.a) del mismo, la AEPD le impone la sanción de apercibimiento, ya que se trata de una administración pública, y se le requiere para que nombre un DPD en el plazo de un mes.

Constituida la Asociación de Delegados de Protección de Datos de Andalucía

Se ha constituido la Asociación de Delegados de Protección de Datos de Andalucía, cuya misión principal es servir de punto de encuentro para que los Delegados de Protección de Datos que ejercen su labor en Andalucía puedan compartir sus inquietudes y experiencias.

Nuevos cursos: Delegado de Protección de Datos y Adaptación al Reglamento General de Protección de Datos

Desde la Comisión de Protección de Datos de Andalucía hemos desarrollado dos nuevos cursos en materia de protección de datos:

Para cualquier cuestión puede contactar con nosotros en el 954222534.