Hace unos días, en este blog de Conversia, explicábamos que Glovo había sido la primera empresa en ser multada en España por no contar con la figura del Delegado de Protección de Datos (DPD). Sin embargo, recientemente, la Agencia Española de Protección de Datos (AEPD) también ha apercibido al Ayuntamiento de Huércal por el mismo motivo.
El 17 de noviembre de 2018, la AEPD recibió una reclamación dirigida contra el Ayuntamiento de Huércal (Almería), que denunciaba que el consistorio no disponía de Delegado de Protección de Datos (DPD). Tras una investigación y después de haber solicitado más información relacionada con el propio Ayuntamiento, la Agencia resolvió que, efectivamente, el consistorio no contaba con esta figura y apercibió al consistorio.
Según publican desde la AEPD, el Ayuntamiento de Huércal habría infringido el artículo 37.1.a) del Reglamento General de Protección de Datos (RGPD), que establece que “el responsable y el encargado del tratamiento (Ayuntamiento) designarán un DPD siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial”.
Asimismo, la reclamación también incorporaba una segunda parte, sobre el posible acceso a datos sensibles por parte de voluntarios que colaboran con el consistorio para ayudar a personas necesitadas del municipio. En este sentido, la Agencia establece “que no es necesario que esté regulada en un contrato de prestación de servicios, si bien es recomendable que se informe a los voluntarios, si van a acceder a datos personales, de las medidas de seguridad que han de tener en consideración y aplicar, así como de la obligación de mantener la confidencialidad sobre los datos personales que conozcan y utilicen”.
¿Por qué no se sanciona económicamente a los organismos públicos en materia de protección de datos?
El RGPD, en su artículo 83.7, fija que cada Estado miembro puede establecer normas sobre en qué medida se pueden imponer multas administrativas a las autoridades y organismos públicos de su país. Por consiguiente, en España, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) dispone, en su artículo 77, que en caso de que las Administraciones Públicas cometiesen algunas de las infracciones tipificadas en la norma, la Autoridad de Protección de Datos las sancionará con apercibimiento y actuaciones disciplinarias. Es decir, no se impondrá sanción económica alguna para los organismos públicos.