La Agencia Española de Protección de Datos ha apercibido a tres Ayuntamientos de la Comunidad de Madrid por no designar Delegado de Protección de Datos, cuando su nombramiento es obligatorio.
Concretamente han sido los Ayuntamientos de San Fernando de Henares, Fuente el Saz del Jarama y Mejorada del Campo. Estos Ayuntamientos han sido apercibidos por la AEPD conforme a lo establecido en la Ley Orgánica y en el Reglamento.
Los hechos
Con fecha de 6 de marzo y 4 de mayo de 2020 se interpusieron sendas reclamaciones en la AEPD frente a los Ayuntamientos de Fuente el Saz del Jarama, San Fernando de Henares y Mejorada del Campo, respectivamente. Las reclamaciones fueron por carecer de un Delegado de Protección de Datos (DPD).
Estas reclamaciones se hacen puesto que el nombramiento de un DPD es obligatorio para los organismos públicos. Al respecto pueden nombrar un mismo Delegado para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
A su vez, el Delegado de Protección de Datos, debe ser una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como su capacidad para ejercer sus funciones. El DPD puede formar parte de la plantilla o ejercer sus funciones en el marco de un contrato de servicios.
Infracción de los art. 37 RGPD y 34 LOPDGDD
En primer lugar, es el artículo 37 del Reglamento. Este artículo es el que obliga a los responsables y encargados designar un Delegado de Protección de Datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
Por otro lado, el artículo 34.1 y .3 de la Ley Orgánica de Protección de Datos y garantía de derechos digitales regula la Designación de un Delegado de Protección de Datos:
«1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679…»
«3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.»
Todos ellos han sido apercibidos.
Según lo dispuesto en el artículo 77.1 c) y 2, 4 y 5 de la LOPGDD, los Ayuntamientos recibieron un apercibimiento para que cesaran la infracción y nombrasen un Delegado de Protección de Datos.
“2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.»
Acceso a las resoluciones completas: