Accueil " La DPA espagnole impose une amende de 25 000 euros pour ne pas avoir désigné un DPD et ne pas l'avoir notifié à temps

Alerte DPD !

L'autorité espagnole de protection des données impose une amende de 25.000 EUR d'amende à une entreprise qui n'a pas désigné de DPD et n'a pas fait la notification nécessaire à la DPA dans les délais impartis.!

Quelques faits pertinents de l'affaire

• Une société espagnole (Glovo) n'avait pas désigné de DPD mais un "comité de protection des données". Aucune notification n'a été faite à l'autorité espagnole de protection des données.
• Une procédure d'enquête a été déclenchée à la suite d'une plainte déposée par deux personnes concernées.
• Glovo a notifié la désignation d'un DPD "officiel" à l'autorité espagnole de protection des données pendant l'enquête de cette dernière.
• La loi espagnole qui a mis en œuvre le RGPD impose un délai de 10 jours pour notifier la désignation, la nomination ou la révocation d'un DPD à l'autorité de protection des données.
• La DPA espagnole a estimé que Glovo aurait dû désigner un DPD car, compte tenu du nombre de ses clients, elle effectue un traitement à grande échelle.
• Une amende de 25 000 euros est imposée à Glovo pour avoir enfreint l'article 37 du RGPD en ne désignant pas de DPD et en n'effectuant pas la notification nécessaire à la DPA dans les délais impartis.

Par ailleurs, étant donné que les entreprises non européennes ne bénéficient pas du principe du guichet unique, elles doivent notifier la désignation de leur DPD à toutes les autorités de protection des données de l'UE/EEE où elles traitent des données à caractère personnel de l'UE (soit potentiellement 46 ( !) autorités de protection des données différentes).

Est-ce une question de temps avant qu'une amende ne soit imposée à une entreprise non européenne pour défaut de désignation d'un représentant de l'UE conformément à l'article 27 du RGPD?

Restez à l'écoute...

***

▪️Link à la décision officielle (ESP) :https://lnkd.in/eaiyYgH
▪️Non-traduction officielle en anglais par l'EDPO ci-dessous :

• Procédure Nº : PS/00417/2019

PROCÉDURE DE SANCTION RÉSOLUTION

Selon la procédure prévue par l'autorité espagnole de protection des données et sur la base des éléments suivants

CONTEXTE

PREMIÈREMENT: A.A.A., et B.B.B. (ci-après, les requérants) ont respectivement déposé une plainte auprès de l'autorité espagnole de protection des données les 21 mai et 4 novembre 2019.

Leurs revendications sont dirigées contre GLOVOAPP23, S.L. avec NIF B66362906 (ci-après, le défendeur).

La raison sur laquelle ils fondent leur réclamation est qu'aucun délégué à la protection des données (ci-après DPD) n'a été désigné pour traiter les réclamations.

DEUXIÈMEMENT : Dès réception de la plainte, la sous-direction générale de l'inspection des données a pris les mesures suivantes :

Le 2 juillet 2019, la première plainte a été transférée au défendeur pour analyse et une communication a été faite aux plaignants de la décision prise à cet égard.

Le défendeur répond au transfert de la plainte en déclarant que ni le texte de l'article 37 du RGPD ni celui de l'article 34 de la LOPGDD(loi espagnole mettant en œuvre le RGPD) ne l'obligent à désigner un DPD.

TROISIÈMEMENT: Le 13 janvier 2020, le directeur de l'Autorité espagnole de protection des données a accepté d'engager une procédure de sanction à l'encontre du défendeur, pour la violation alléguée de l'article 37 du RGPD, tel que défini à l'article 83.4 du RGPD.

QUATRIÈMEMENT : Notifiée le 22 janvier 2020 de l'accord d'ouverture précité, la défenderesse a déposé le 31 janvier 2020 un mémoire dans lequel, en résumé, elle affirme que son activité de traitement de données à caractère personnel est exemptée des obligations prévues aux articles 37 RGPD et 34 LOPGDD, et donc exemptée de l'obligation de désigner un délégué à la protection des données.

Toutefois, elle affirme n'avoir à aucun moment nié l'existence d'un organe dédié, dans le cadre de l'organisation, à l'exercice des fonctions qui sont propres à un délégué à la protection des données, puisque le 8 juin 2018, elle a constitué le comité de protection des données, afin de couvrir les domaines techniques de l'entreprise et qu'à la même date, un sous-comité de protection des données a également été nommé afin de se conformer à l'autorisation du conseil d'administration de mettre en place ce comité.

Il conclut en indiquant que le comité de protection des données exerce les fonctions d'un délégué à la protection des données telles que décrites dans l'article 39 du RGPD.

CINQUIÈME : Le 25 février 2020, l'enquêteur de la procédure a convenu de l'ouverture d'une période de pratique des preuves, en tenant compte des actions d'enquête précédentes, E/06131/2019, ainsi que des documents fournis par le défendeur.

SIXIÈME: Une proposition de résolution est faite le 26 février 2020, proposant de sanctionner l'entité requise pour une violation de l'article 37 du RGPD, telle que visée à l'article 83.4 du RGPD.

SEPTIÈME : Le 13 mars 2020, la partie défenderesse a déposé un mémoire d'allégations à la proposition susmentionnée, indiquant que le 23 mai 2019, C.C.C. a été officiellement nommé délégué à la protection des données du défendeur, mais ce n'est qu'en février 2020 qu'il a été décidé d'officialiser cette nomination à l'égard des tiers en inscrivant le DPD au registre de l'autorité espagnole de protection des données, étant donné que le comité de protection des données, le sous-comité et le service juridique avaient exercé ces fonctions de manière efficace et en garantissant pleinement les droits et les libertés des personnes concernées.

FAITS INCONTESTÉS

PREMIÈREMENT : Le défendeur n'a pas désigné de délégué à la protection des données.

DEUXIÈMEMENT : La partie défenderesse prétend que son activité de traitement de données à caractère personnel est exemptée des obligations prévues aux articles 37 RGPD et 34 de la LOPGDD, mais qu'elle dispose néanmoins d'un Comité de protection des données, qui exerce les fonctions d'un délégué à la protection des données telles que décrites à l'article 39 du RGPD.

TROISIÈMEMENT : Il a été constaté que le défendeur, après le début de la présente procédure de sanction le 13 janvier 2020, a communiqué le 31 janvier 2020 à l'autorité espagnole de protection des données la nomination de son délégué à la protection des données.

MOTIFS JURIDIQUES

I

Le directeur de l'autorité espagnole de protection des données est compétent pour résoudre cette procédure, conformément aux dispositions de l'article 58.2 du RGPD et des articles 47 et 48.1 de la LOPDGDD.

II

L'article 37 du RGPD prévoit

"Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle.

À cet égard, la LOPDGDD détermine à l'article 34.1 et 3 : "Désignation d'un délégué à la protection des données"

1. " Les responsables du traitement et les sous-traitants désignent un délégué à la protection des données dans les cas prévus à l'article 37.1 du règlement (UE) 2016/679 ".

3. Les responsables du traitement et les sous-traitants communiqueront dans les dix jours à l'autorité espagnole de protection des données ou, le cas échéant, aux autorités régionales de protection des données, les désignations, nominations et révocations des délégués à la protection des données, tant dans les cas où leur désignation est obligatoire que dans les cas où elle est volontaire".

III

L'absence de désignation d'un délégué à la protection des données, lors de la mise en œuvre du traitement déclaré de données à caractère personnel à grande échelle, est considérée comme une violation de l'article 37, paragraphe 1, point b), du RGPD , en liaison avec l'article 34 de la LOPDGDD.

En ce sens, la partie défenderesse déclare qu'elle dispose dans son organisation d'un comité de protection des données, qui exerce les fonctions d'un délégué à la protection des données telles que décrites à l'article 39 du RGPD.

Cependant, au début de la procédure de sanction, lors de l'accès au site web du défendeur en suivant le lien https://glovoapp.com/en/legal/privacy, aucune mention n'a été faite du Bureau de protection des données du défendeur, en tant que garant du respect des règles de l'organisation en matière de protection des données.

Toutefois, il a été constaté le 31 janvier 2020 que le défendeur a notifié à l'autorité espagnole de protection des données la nomination de son délégué à la protection des données, communication qui a été signée et notifiée par cette autorité au défendeur le 18 février 2020.

IV

L'article 83.7 RGPD prévoit que : "Sans préjudice des pouvoirs de correction des autorités de contrôle en vertu de l'article 58, paragraphe 2, chaque État membre peut déterminer si et dans quelle mesure des amendes administratives peuvent être imposées aux autorités et organismes publics établis dans cet État membre"

L'article 58.2 du RGPD prévoit que : "Chaque autorité de contrôle dispose de l'ensemble des pouvoirs de correction suivants :

b) adresser un blâme à un responsable du traitement ou à un sous-traitant lorsque les opérations de traitement ont enfreint les dispositions du présent règlement ;

d) ordonner au responsable du traitement ou au sous-traitant de se conformer pour mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, selon des modalités et dans un délai déterminés ;

i) d'imposer une amende administrative conformément à l'article 83, en plus ou à la place des mesures visées au présent paragraphe, en fonction des circonstances propres à chaque cas ;

V

L'article 73 de la LOPDDG stipule que : "Les violations considérées comme graves

" Conformément à l'article 83.4 du règlement (UE) 2016/679, sont considérées comme graves et limitées au bout de deux ans les infractions qui enfreignent de manière substantielle les articles qui y sont visés et, en particulier, les suivants : "

v) Le non-respect de l'obligation de désigner un délégué à la protection des données lorsque sa désignation est requise en application de l'article 37 du règlement (UE) 2016/679 et de l'article 34 de la présente loi organique. "

L'article 83.4 du RGPD prévoit que "les infractions aux dispositions suivantes sont sanctionnées, conformément au paragraphe 2, par des amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu" :

a) les obligations du responsable du traitement et du sous-traitant en vertu des articles 8, 11, 25 à 39 et 42 et 43"

Il est également considéré que la sanction à imposer devrait être graduée selon les critères suivants établis dans l'article 83.2 du RGPD:

Les facteurs suivants sont des facteurs aggravants :

• En l'espèce, le nombre de personnes concernées est considéré comme une circonstance aggravante, étant donné que le défendeur traite des données à caractère personnel à grande échelle en raison du nombre de ses clients (article 83, paragraphe 2, point a)).
• Les identifiants personnels de base sont affectés (article 83, paragraphe 2, point g))

Par conséquent, conformément à la législation applicable et après avoir évalué les critères de graduation des sanctions dont l'existence a été établie,

le directeur de l'autorité espagnole de protection des données RÉSOLU :

PREMIÈREMENT: IMPOSEZ GLOVOAPP23, S.L.avec le FNI B66362906une amende de 25 000 euros (vingt-cinq mille euros) pour une infraction à l'article 37 du RGPD, catégorisée à l'article 83.4 du RGPD.

DEUXIÈMEMENT: NOTIFIER la présente résolution à GLOVOAPP23, S.L.

TROISIÈMEMENT: Avertir la partie sanctionnée qu'elle doit rendre effective la sanction imposée une fois que cette résolution est exécutoire, conformément à l'article 98.1 b) de la loi 39/2015 du 1er octobre de la procédure administrative commune des administrations publiques (ci-après LPACAP), dans le délai de paiement volontaire établi à l'article 68 du règlement général de recouvrement, approuvé par le Royal.

Décret n° 285 du 29 juillet sur l'art. 62 de la Loi 58/2003, du 17 décembre, par son versement, en indiquant l'identification fiscale du sanctionné et le numéro de procédure qui figure dans l'en-tête de ce document, sur le compte bloqué n° ES00 0000 0000 0000 0000 0000 0000ouvert au nom de l'Autorité espagnole de protection des données auprès de Banco CAIXABANK, S.A. Dans le cas contraire, il sera perçu pendant la période d'exécution.

Une fois la notification reçue et exécutée, si la date d'exécution se situe entre le 1er et le 15 de chaque mois inclus, le délai de paiement volontaire sera jusqu'au 20 du mois suivant ou du mois ouvrable immédiatement suivant, et si elle se situe entre le 16 et le dernier jour de chaque mois inclus, le délai de paiement sera jusqu'au 5 du deuxième mois suivant ou du mois ouvrable immédiatement suivant.

Conformément à l'article 50 de la LOPDGDD, la présente résolution sera rendue publique après avoir été notifiée aux parties intéressées.

Contre cette résolution, qui met fin à la procédure administrative conformément à l'article 48.6 de la LOPDGDD, et conformément à l'article 123 de la LPACAP, les intéressés peuvent introduire, à titre facultatif, un recours en réformation auprès du directeur de l'autorité espagnole de protection des données dans un délai d'un mois à compter du jour suivant la notification de la présente décision ou directement un recours administratif devant la chambre du contentieux administratif de l'Audiencia Nacional, conformément aux dispositions de l'article 25 et du paragraphe 5 de la quatrième disposition additionnelle de la loi 29/1998, du 13 juillet 1998, régissant la juridiction du contentieux administratif, dans un délai de deux mois à compter du jour suivant la notification du présent acte, comme le prévoit l'article 46.1 de la loi susmentionnée.

Enfin, il convient de noter que, conformément à l'article 90.3 a) de la LPACAP, la résolution finale peut être suspendue à titre préventif par voie administrative si la partie intéressée manifeste son intention d'introduire un recours contentieux administratif. Si tel est le cas, la partie intéressée doit communiquer formellement ce fait par écrit à l'Autorité espagnole de protection des données, en le présentant par le biais du registre électronique de l'Autorité [https://sedeagpd.gob.es/sede-electronica-web/], ou par le biais de tout autre registre prévu à l'article 16.4 de la loi 39/2015, du 1er octobre, susmentionnée. Il transmet également à l'Autorité la documentation prouvant l'introduction effective du recours contentieux administratif. Si l'Autorité n'est pas informée de l'introduction du recours contentieux administratif dans un délai de deux mois à compter du jour suivant la notification de la présente décision, elle met fin à la suspension conservatoire.

Mar España Martí

Directeur de l'Autorité espagnole de protection des données