Gdpr español
Contenidos
En la Decisión 603, la AEDP multó a la empresa por los mismos incumplimientos ya mencionados en la Decisión 482. Sin embargo, la autoridad también constató que un formulario dentro de la página web utilizado por los clientes para realizar pedidos carecía de una casilla de verificación u otro medio que permitiera a los interesados dar una clara acción afirmativa de haber aceptado el tratamiento de sus datos personales.
La Decisión 476 se refiere a una denuncia contra un proveedor de servicios de electricidad por haber modificado un contrato sin el consentimiento del cliente, lo que supuso un aumento del suministro eléctrico. Durante la investigación, la autoridad determinó que la modificación del contrato fue el resultado de una solicitud de una persona que se hizo pasar por el cliente.
La empresa alegó haber actuado en estricta conformidad con el protocolo establecido para las modificaciones contractuales. Sin embargo, el protocolo de seguridad se basaba en datos que pueden ser conocidos por terceros, como el número de DNI, el nombre y los apellidos, el número de teléfono y la dirección. En consecuencia, la AEPD concluyó que el protocolo del proveedor de electricidad carecía de un nivel de seguridad adecuado para garantizar el tratamiento de los datos personales conforme al artículo 32 del RGPD, lo que dio lugar a una modificación contractual sin el consentimiento del interesado.
Autoridad española de protección de datos
Nota al margen: dado que las empresas extracomunitarias no se benefician del principio de ventanilla única, tienen que notificar el nombramiento de su RPD a todas las APD de la UE/EEE en las que traten datos personales de la UE (es decir, potencialmente 46 (!) APD diferentes).
El demandado responde al traslado de la denuncia afirmando que ni dentro del texto del artículo 37 del GDPR ni dentro del del artículo 34 LOPGDD (Ley española de desarrollo del GDPR), tienen la obligación de designar un DPO.
TERCERO: Con fecha 13 de enero de 2020, el Director de la Autoridad Española de Protección de Datos acordó la incoación de un procedimiento sancionador contra el denunciado, por la presunta vulneración del artículo 37 del GDPR, tal y como se define en el artículo 83.4 del GDPR.
CUARTO: Notificado el 22 de enero de 2020 el citado acuerdo de iniciación, la demandada presentó el 31 de enero de 2020 un escrito de alegaciones en el que, en síntesis, manifestaba que su actividad de tratamiento de datos personales está exenta de las obligaciones establecidas en los artículos 37 GDPR y 34 LOPGDD, y por tanto exenta de la obligación de designar un Delegado de Protección de Datos.
Comentarios
Llevo casi veinticinco años trabajando como abogado de PI y TI asesorando en el cumplimiento normativo y en operaciones de fusiones y adquisiciones en España por parte de empresas del sector tecnológico. Soy experto en la adaptación de los protocolos de actuación de empresas transnacionales a la normativa española de privacidad, protección de datos y uso de medios electrónicos. También tengo una amplia trayectoria en operaciones nacionales e internacionales de cloud computing, big data, outsourcing y desarrollo de software. Antes de dirigir Crowe Le…
Socio responsable del departamento de Derecho de las Tecnologías de la Información de Fieldfisher en España. Estoy especializado en Derecho Tecnológico desde 1992 y durante más de 30 años he asesorado a organismos públicos, privados, nacionales e internacionales en las diferentes áreas de mi especialidad, con especial experiencia en propiedad intelectual, contratación tecnológica y protección de datos. Los sectores más destacados a los que presto asesoramiento son el tecnológico, el comercio electrónico, el farmacéutico, las organizaciones no gubernamentales, la priva…
Ley española de protección de datos
El rastreador de aplicación del GDPR de CMS.Law es un resumen de las multas y sanciones que las autoridades de protección de datos de la UE han impuesto en virtud del Reglamento General de Protección de Datos de la UE (GDPR, DSGVO). Nuestro objetivo es mantener esta lista lo más actualizada posible. Dado que no todas las multas se hacen públicas, esta lista nunca puede ser completa, por lo que agradecemos cualquier indicación de otras multas y sanciones relacionadas con el RGPD. Tenga en cuenta que no enumeramos las multas impuestas en virtud de leyes nacionales / no europeas, en virtud de leyes no relacionadas con la protección de datos (por ejemplo, leyes de competencia / leyes de comunicación electrónica) y en virtud de “antiguas” leyes anteriores al RGPD.