Durante estos primeros 20 meses de aplicación del RGPD tan solo se han producido dos sanciones relacionadas con el Delegado de Protección de Datos (DPO en sus siglas en inglés) impuestas por las distintas autoridades europeas en materia de protección de datos personales.

El primer caso: la sanción alemana

En el primer caso, el Comisario Federal Alemán para la Protección de Datos y la Libertad de la Información (BfDI) ha sancionado a un proveedor de servicios de telecomunicaciones local. La empresa en cuestión no atendió a lo requerido por el artículo 37 del RGPD al no nombrar a un Data Protection Officer (DPO) a pesar de las repetidas ocasiones en las que le fue requerido por parte de la autoridad alemana de protección de datos.

El importe de la sanción fue de 10,000 euros y ha sido calculada teniendo en cuenta que la sociedad entra dentro de la categoría de microempresa.

El segundo caso: la sanción austríaca

En el segundo caso la sanción fue impuesta por la Autoridad Austríaca de Protección de Datos (DSB) y ascendió a 50,000 euros.

En esta ocasión se trataba de una empresa del sector sanitario que también incumplió su deber de nombrar un DPO según lo estipulado en el artículo 37 del Reglamento General de Protección de Datos.

El RGPD y el nombramiento del Delegado de Protección de Datos

Recordamos que, de acuerdo con el artículo 37 del RGPD, el nombramiento del Delegado de Protección de Datos por parte del responsable de tratamiento es una responsabilidad ineludible en los siguientes casos:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Bajo el RGPD, las sanciones relativas al artículo 37 pueden alcanzar los 10 millones de euros o el 2% de la facturación global de la empresa en caso de que esta cantidad sea superior.