La Agencia Española de Protección de Datos (AEPD) acaba de sancionar a una PYME con 50.000€ por no haber designado un Delegado de Protección de Datos (DPO).
No es la primera sanción por este tipo de infracciones en España pero nos ha llamado la atención porque se da la circunstancia que dicha empresa en 2018 obtuvo 51.708€ de ingresos de explotación. Por lo tanto, la sanción puede poner en serios problemas la continuidad de la empresa.
La entidad claramente incumplía la normativa española y europea de protección de datos al no haber nombrado DPO, entre otras razones, por su sector de actividad (empresas de seguridad privada). Además, tenía un sistema de videovigilancia CCTV que grababa a quien trabajaba y a quien entraba en sus instalaciones. Dicho tratamiento es considerado por la AEPD un tratamiento de datos personales a gran escala (cosa que considera un agravante a efectos de la cuantificación de la sanción).
Por otro lado, un conocido sindicato fue el denunciante de estas irregularidades ante la AEPD. De nuevo, aparece un indicio más de cómo los conflictos de protección de datos se interrelacionan con los empleados -o sus representantes, en este caso. Incluso nos permite afirmar que los incumplimientos de privacidad de la empresa se convierten en una debilidad en casos de conflictos laborales que no siempre tienen su origen en la preocupación por la protección de la privacidad.
Consecuente, no podemos dejar de recomendar (otra vez) que todas las empresas -también las PYMES, dado que su supervivencia puede estar en juego- (a) verifiquen si en su caso concreto necesitan un DPO; (b) si no lo necesitan que se deje por escrito las razones jurídicas y (c) si lo necesitan dimensionen qué necesitan y procedan a internalizarlo o a externalizar al DPO según la complejidad y volumen de trabajo que tendrá.
Es también un buen momento para recordar la obligación del delegado de protección de datos que recordamos en esta circular.
Gerente en el área de Derecho Digital IP
