El Reglamento General de Protección de Datos (RGPD) en su artículo 37.2, menciona la posibilidad de nombrar un Delegado de Protección de Datos (DPD) para un grupo empresarial, siempre y cuando este sea accesible desde cada establecimiento. Bajo esta premisa, entendemos que nombrando un DPD para el grupo se encuentra surtida la obligación. Sin embargo, es pertinente preguntarse ante qué autoridad de protección de datos se debe registrar el DPD del grupo empresarial? y de ser el caso, se encuentra surtida esta obligación con el nombramiento del DPD ante la autoridad de control correspondiente a la sede principal en Europa?
Frente al anterior interrogante, respecto de la designación del DPD ante las respectivas autoridades a nivel europeo por parte de grupos empresariales. La interpretación más lógica de este artículo parece indicar que es suficiente que se nombre el DPD en la sede principal del grupo para encontrarse surtida la obligación. Mas aún si se tienen en cuenta las obligaciones de cooperación y asistencia mutua entre las diferentes autoridades consagradas en el considerando 123 y artículo 61 del RGPD.
Casos Recientes sobre la Designación del DPD
Alemania-Hamburgo
En virtud de pronunciamientos por parte de las autoridades de protección de datos de Hamburgo en noviembre de 2019 luego mencionado en su reporte a principios de 2020 y más recientemente, la Agencia Española de Protección de Datos (AEPD); podríamos llegar a la conclusión que es necesario registrar el DPD ante las respectivas autoridades de protección de datos en cada país donde se encuentre radicado el grupo empresarial.
En el caso alemán, la autoridad de Hamburgo impuso una multa a Facebook GmbH por un valor de 51.000 euros. La autoridad Hamburguesa consideró que se había incurrido en una violación a las obligaciones del artículo 37. 7 del RGPD al no haber comunicado los datos del DPD a la autoridad competente, a pesar de haber nombrado un DPD para el grupo ante la autoridad irlandesa. La sanción impuesta a Facebook evidencia una advertencia por parte de la autoridad a las compañías, en el sentido de aclarar que el deber de notificación de la designación del DPD ante las autoridades no puede ser omitido, y puede acarrear sanciones.
España
La AEPD en junio de 2020 emitió la Resolución N° PS/00417/2019 donde interpuso una sanción por 25.000 euros a GLOVOAPP23, S.L. (Glovo) por haber faltado a la obligación de nombramiento del DPD ante la autoridad española. La empresa en este caso tenía la obligación de designar un DPD de conformidad con el articulo 37.1 RGPD.
A su vez al tener la obligación de designar un DPD, también debía comunicarlo a la AEPD de acuerdo al artículo 34.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En consecuencia, la AEPD sanciona a la sociedad Glovo por incumplir con las obligaciones de designación de un DPD de acuerdo con el artículo 37.1 b) del RGPD, ya que su actividad principal implica la observación habitual y sistemática de interesados a gran escala, y por consiguiente está llamada a cumplir con el deber de notificación a la AEPD consagrado en el artículo 34 LOPDGDD.
En cuanto a la designación del DPD, Glovo argumentó contar con un Comité de Protección de Datos, el cual desempeñaba las funciones del DPD de acuerdo a las obligaciones del artículo 39 del RGPD garantizando los derechos de los interesados. Otro de los argumentos de Glovo es que el DPD había sido nombrado el 23 de mayo de 2019 pero éste no fue inscrito hasta febrero de 2020 ante la AEPD. La LOPDGDD en su artículo 34.2 menciona que una vez designado el DPD ya sea por obligación o de manera voluntaria, el responsable del tratamiento cuenta con 10 días para realizar su notificación ante la AEPD. Por lo tanto, la obligación no había sido cumplida.
Designación del DPD ante las Autoridades de Protección de Datos
Teniendo en cuenta los ejemplos anteriores, podemos observar un patrón, donde las diferentes autoridades de protección de datos europeas han requerido en dos ocasiones que además de la designación del DPD, este sea nombrado ante las mismas.
Pese a que aún no hay claridad sobre la manera como debe cumplirse con la obligación del nombramiento del DPD de un grupo empresarial de acuerdo al artículo 37.2 del RGPD, la interpretación de las autoridades de acuerdo con los dos casos anteriores parece sugerir que de conformidad con la premisa del artículo 37.7 del RGPD se debe proceder a su designación ante las respectivas autoridades de protección de datos competentes al grupo empresarial.
En adición a la regulación española en desarrollo del RGPD en su artículo 34.3, la cual requiere que la designación ante la AEPD se realice en un término de 10 días posterior a su nombramiento. Otras autoridades de protección de datos como la Information Comissionners Office (ICO) en Reino Unido, también sugiere que en caso de nombramiento voluntario del DPD, este debe cumplir con los mismos requisitos como si fuera de obligatorio nombramiento, por ende, debe notificarse ante la autoridad de datos correspondiente.
Con base en el anterior análisis y teniendo en cuenta que no hay un pronunciamiento en contrario por parte de las autoridades, consideramos preferible proceder a la notificación de la designación del DPD tanto del grupo como de designaciones voluntarias, ante las autoridades de protección de datos competentes en cada país, para así evitar una posible sanción.