La Agencia Española de protección de Datos (AEPD), acaba de publicar una resolución cuyo documento os dejo en este enlace, acerca de un expediente sancionador abierto contra el Colegio de arquitectos de Granada, a causa de una serie de incumplimientos que la Agencia considera deben modificarse de inmediato y que califica de infracciones a la normativa por cuanto la vulneran en varios de sus principios, lo que ha aparejado una sanción de 14.000 €. 

En resumen, la persona denunciante consideró que se vulneraba la aplicación del Reglamento General de Protección de datos RGPD 2016/679 y de la Ley Orgánica 3/2018, en base a: 

1. No contar con un Delegado de Protección de datos cualificado. Se nombró, sí, pero internamente y no ante el Consejo de Transparencia de Andalucía, con lo que el nombramiento era tal como si fuera papel mojado. La persona sobre la que recayó el nombramiento irregular,  además venía desarrollando otras funciones y atribuciones, de modo que las mismas han sido consideradas incompatibles con la función independiente que debe tener esta figura. En ese sentido, ya os hemos informado en diversas ocasiones que la figura de DPD debe contar con formación jurídica, amplia experiencia en la temática y que no ostente otras actividades que pongan en riesgo su independencia, además de que debe ser comunicada ante el Consejo de Transparencia y la persona o empresa designada no debe constar como DPD para demasiadas entidades, bajo riesgo de que sus posibilidades sean puestas en tela de juicio por no poder afrontar su cometido debidamente por falta o insuficiente dedicación. 
2. No ofrecer adecuada información en las hojas de reclamaciones y en solicitudes como la de los visados. Sabemos que siempre que se tratan datos, debemos ofrecer al menos la información sobre: el responsable del tratamiento, finalidad, legitimación, si es por interés legítimo indicar cuál es dicho interés,  conservación, transferencias internacionales,  comunicaciones de datos, ejercicio de derechos, revocación de consentimiento, derecho a reclamar ante la autoridad de control, etc. En este caso, faltaba colocarla en las hojas mencionadas y otros lugares.
3. Utilizar cookies de terceros sin consentimiento, ya que no se ofrecía suficiente información ni se obtenía debidamente el consentimiento, con el banner adecuado y la publicación de la política correspondiente. En sí misma, por el hecho de la navegación, directamente se aceptaban las cookies sin permitir ninguna otra posibilidad y no se trataba de cookies exceptuadas de dicho consentimiento como pueden ser las que se utilizan para mejorar la seguridad de la navegación o para evitar intentos de accesos fraudulentos. 
4. Política de privacidad insuficiente, en la que faltaba incorporar el dato del DPD, la base de legitimación elegida era incorrecta por cuanto se utilizaba directamente el consentimiento sin dejar registro ni constancia de su solicitud y otras cuestiones adicionales y en formulario de contacto, para remitir los datos, ello solo se podía llevar a cabo una vez se aceptara “sí o sí”, la política mencionada. 

El Colegio de arquitectos de Granada, tiene intención de recurrir la resolución, pero por el momento, la decisión está tomada y fundamentada según el criterio de la Agencia, como se observa en el texto de la resolución. Veremos qué pasa con el recurso.