¿Cuáles son las multas por no tener Delegado de Protección de Datos?

¿No tienes muy claro cuáles son las consecuencias o la posible multa por no tener un Delegado de Protección de Datos? En este artículo explicamos qué sanciones hay en torno a la obligación de designar un DPO para empresas y otras organizaciones.

¿Pueden multar a mi empresa por no tener Delegado de Protección de Datos?

Si tu empresa debe tener un Delegado de Protección de Datos obligatorio, sí, carecer de este profesional, ya sea como empleado interno o contratado a través de un servicio externo, es motivo de sanción, puesto que estamos ante una vulneración de protección de datos considerada, como veremos más adelante, grave.

Por lo tanto, a tu empresa se le podrá imponer una multa por no tener Delegado de Protección de Datos si cumple con las condiciones establecidas en el artículo 37.1 del RGPD que hacen obligatorio su nombramiento o si se dedica a alguna de las actividades establecidas en el artículo 34 de la LOPDGDD.

¿Cuáles son las sanciones por no tener Delegado de Protección de Datos?

Primero, debemos señalar que no tener Delegado de Protección de Datos cuando es obligatorio, se considera tanto en el RGPD como en la LOPDGDD una infracción grave (art. 83.4 y art. 73 respectivamente) y que la cuantía de esta multa en protección de datos dependerá del número de afectados, la duración en el tiempo de la infracción, la colaboración o no con la AEPD y las categorías de datos afectadas.

Pero con carácter general, la horquilla que la LOPDGDD establece para las infracciones graves es una sanción de entre 40.001 a 300.000 euros.

Por su parte, el RGPD establece multas para las infracciones graves de hasta 10 millones de euros o el 2% de la facturación anual (la cuantía que resulte superior).

Ejemplos de multas por no tener Delegado de Protección de Datos

Para entender la importancia de la figura del DPO para aquellas empresas u organizaciones que deban nombrarlo obligatoriamente, tenemos ya algunos ejemplos de multas por no tener Delegado de Protección de Datos en España:

• Una de las multas por no tener Delegado de Protección de Datos, quizás, que más ha trascendido, es la impuesta a Glovo en 2020, con una cuantía de 25.000 euros, que la Audiencia Nacional confirmó en diciembre de 2022. Aunque la compañía recurrió alegando que, por un lado, no cumplía con las condiciones del artículo 37.1 del RGPD y, por otro lado, que disponía de un comité de protección de datos que desempeñaba las mismas funciones que un DPO, la AEPD y la Audiencia Nacional desestimaron estas alegaciones, confirmando que Glovo lleva a cabo tratamientos de datos a gran escala y de manera sistemática y que ese departamento no había sido designado como DPO ni comunicado a la AEPD.
• Parecido fue el caso de una compañía de juegos online, que fue multada por la AEPD con 10.000 euros por carecer de Delegado de Protección de Datos, vulnerando el artículo 37.1 del RGPD en relación al artículo 34.1.n) de la LOPDGDD.

Otras multas por infracciones en torno al DPO

Aparte de no la multa por no tener Delegado de Protección de Datos cuando existe la obligación de hacerlo, hay otras infracciones en torno a esa figura que como responsables o encargados del tratamiento debéis conocer, para evitar incurrir en ellas por desconocimiento (algo que no os libraría de la correspondiente sanción).

Así, tenemos las siguientes infracciones relativas a los requisitos del Delegado de Protección de Datos y el desempeño de sus funciones:

• No permitir que el DPO pueda cumplir con sus funciones, obstaculizándolas o ejerciendo presión sobre él. Se trata de una infracción grave.
• Nombrar a un DPO interno que, además, tenga otro puesto con tareas o responsabilidades de las que se derive un conflicto de intereses con las funciones del puesto como DPO (esto ocurre cuando el DPO desempeña tareas dentro de la empresa que están relacionadas directamente con el tratamiento de datos personales, sobre los que debe decidir con independencia). Se trata de una infracción grave.
• No publicar los datos de contacto del Delegado de Protección de Datos o comunicar su designación a la AEPD. Se trata de una infracción leve.
• Una empresa de seguridad recibió una multa de la AEPD de 50.000 euros por tener nombrado a un DPO, ya que las empresas de seguridad son una de las actividades contempladas en el artículo 34 de la LOPDGDD. La empresa de seguridad supervisaba un sistema CCTV con el que se controlaba el acceso a las instalaciones.

¿Cómo denunciar a una organización que no tiene DPO?

Si queremos denunciar a una organización por no tener DPO, podremos denunciar por protección de datos ante la AEPD, como haríamos con cualquier otra infracción de la normativa.

Para ello, podemos presentar la denuncia de manera telemática a través de la Sede Electrónica de la AEPD, en su apartado de «Reclamaciones ordinarias», o enviando la denuncia por vía postal a C/ Jorge Juan, 6, 28001, Madrid.

En el escrito de denuncia tendréis que poner vuestros datos, la identidad del responsable del tratamiento y los motivos por los que presentáis la denuncia, en este caso, no tener Delegado de Protección de Datos (que, recordamos nuevamente, es obligatorio para empresas y organizaciones que cumplan con las condiciones previstas en el artículo 37.1 del RGPD o que se dediquen a alguna de las actividades recogidas en el artículo 34 de la LOPDGDD).

Cómo ves, si tu empresa está obligada a tener un Delegado de Protección de Datos y no lo has nombrado y comunicado a la AEPD, estás expuesto a ser denunciado y sancionado por la AEPD y, cómo has visto, las cuantías de las multas no son precisamente pequeñas.

Si necesitas un DPO para tu empresa o no estás seguro de si debes o no nombrarlo, no dudes en ponerte en contacto con Grupo Atico34, aclararemos cualquier duda que puedas tener respecto al Delegado de Protección de Datos y también podrás contratar los servicios de un DPO con nosotros.