El artículo 56 del Reglamento General de Protección de Datos estipula que, en caso de que una empresa realice tratamiento de datos en varios países de la Unión Europea, la autoridad principal competente en materia de protección de datos será la del país en la que la empresa tenga su sede principal. Siguiendo este artículo, la CNIL, agencia francesa de protección de datos, ha impuesto este pasado agosto su primera sanción como autoridad principal y lo ha hecho a la empresa de comercio electrónico Spartoo por importe de 250 000 euros.
Artículo 56 del RGPD:
“…la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado…”
Spartoo es una empresa con base en Francia pero que opera en 13 países miembros de la UE. La CNIL se erigió como órgano competente para actuar como autoridad principal a la hora de investigar las actividades de tratamiento de datos de la empresa.
La CNIL utilizó en este caso el mecanismo de cooperación entre autoridades nacionales previsto en el artículo 60 del RGPD por el que las agencias de los distintos países en los que la empresa opera tuvieron la oportunidad de contribuir a la investigación y de participar en la decisión de la CNIL. En este caso, las autoridades de Portugal, Italia y Baja Sajonia presentaron objeciones que fueron tomadas en cuenta por la autoridad principal.
Finalmente, la decisión de la CNIL considera que Spartoo ha incurrido en 4 infracciones del RGPD: del artículo 5.1(c) sobre minimización de datos, del artículo 5.1(e) sobre el plazo de conservación, del artículo 13 sobre el derecho a la información y del artículo 32 sobre la seguridad del tratamiento.
El resultado ha sido una sanción de un cuarto de millón de euros y la obligación de realizar los cambios necesarios para lograr el cumplimiento en un plazo de tres meses o incurrir en una sanción de 250 euros diarios por cada día que se pase del plazo.
La decisión supone un serio aviso para aquellas empresas que operen en el ámbito europeo ya que demuestra en la práctica la cooperación y el entendimiento entre distintas autoridades nacionales.
El concepto de autoridad principal también puede dar lugar a tensiones entre países como es el caso de Alemania que ha criticado a la autoridad irlandesa de protección de datos por su postura laxa en relación con los gigantes de Internet como Facebook o Google que tienen su sede principal en este país.
