En la última semana, la AEPD ha apercibido a un Ayuntamiento por falta de nombramiento de la figura del DPO (también conocido como DPD), estando obligado a ello.
Recordemos que la figura del DPO es una figura de garantía del cumplimiento de la normativa de protección de datos que se encuentra en el seno de una entidad en la que se llevan a cabo actividades de tratamiento de este tipo de datos. El nombramiento de un DPO no siempre es obligatorio, pero existen supuestos en los que sí lo es, y precisamente es el caso de los organismos de derecho público, entre los que se encuentran los ayuntamientos y demás entidades locales.
¿Por qué los ayuntamientos están obligados a nombrar un DPO? La respuesta la encontramos en el artículo 37.1.a) del RGPD, que establece dicha obligación cuando el tratamiento de datos se lleve a cabo por “una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial”.
Lo que ha ocurrido en este caso es que el mencionado ayuntamiento nombró a un DPO en el año 2018 que, un año después, cesó de su cargo por jubilación. Desde entonces, la entidad no había nombrado a un nuevo DPO.
En este contexto, el apercibimiento de la AEPD se basa en las siguientes infracciones:
-Artículo 37.1.a) RGPD: por la falta de nombramiento de DPO cuando es obligatorio, como se ha expuesto.
-Art. 34.3 LOPDGDD: en cuanto a la información a la autoridad de control respecto del cese de los DPO. Este precepto es el que establece que las designaciones, nombramientos y ceses de los delegados de protección de datos deben ser comunicadas a la autoridad de control (en este caso, la AEPD) en un plazo de diez días.
Hay que tener en cuenta que la falta de nombramiento de DPO cuando es obligatorio es considerada una infracción considerada grave, según el artículo 73.v) de la LOPDGDD.