Las multas por falta de Delegado de Protección de Datos (DPD) en grandes empresas siguen siendo habituales. Por ejemplo, Glovo fue sancionado por estos hechos con 25.000 euros y lo mismo ocurrió con la entidad mercantil Conseguridad, la cual tuvo que hacer frente a una penalización de 50.000 euros. Ahora ha sido el turno del restaurante de comida rápida KFC España.
Pero la cadena que vende pollo frito no sólo ha sido castigado por no tener DPO, sino también por falta de información en el apartado de «Política de Privacidad» que tienen en su página web. Por la primera infracción le han impuesto el pago de 20.000 euros y, por la segunda, 5.000.
Y aunque los hechos se remontan a mayo de 2021, hace casi dos años, la resolución se acaba de dar a conocer ahora.
Todo comenzó cuando una consumidora interpuso la reclamación ante la AEPD al detectar ciertas irregularidades en la página web de KFC. Manifestó que el restaurante no seguía las directrices del Reglamento General de Protección de Datos (RGPD) porque no se podía acceder de forma sencilla a la política de privacidad. El link estaba situado en la parte inferior y redireccionaba a la información estadounidense y no a la europea y de Reino Unido.
Por otro lado, manifestó que al crear una cuenta en el sitio web, la página sólo permitía registrarse marcando la casilla de “recibir ofertas especiales y promociones”. La consumidora también dejó constancia de que en el apartado “política de privacidad” no se argumentaba a dónde iban destinados al no aparecer información del responsable del tratamiento de los datos.
En la web se pueden introducir datos por ofertas de empleo, pedidos…
Y es que hay que destacar que en la web se pueden introducir los datos personales de los usuarios en diversos formularios para, por ejemplo, para crear una cuenta, solicitar empleo, realizar un pedido online de sus productos y recibir ofertas promocionales.
También relató que en la página no se explicaba el procedimiento a seguir para obtener una copia o del tiempo exacto que se iban a conservar los datos porque sólo hacía referencia a formulaciones genéricas como “durante el tiempo necesario”.
La AEPD trasladó la reclamación a KFC para que, en el plazo de un mes, pudiese defenderse.
Respecto a que no se podía acceder de forma sencilla, destacaron que la web facilita información de protección de datos en dos capas, la primera en “privacidad” y la segunda en “multimarcas” y que en la segunda es donde aparece la información específica para los europeos. También manifestaron que corregirán el error de situar el link en la parte superior en vez de en la inferior.
En cuanto a la imposibilidad de crear una cuenta si no se aceptaba el envío de ofertas, relataron que hubo un error en la configuración del formulario porque sí que existía esa posibilidad.
Pensaban que no era necesario que KFC tuviese DPD
Durante la investigación, la AEPD encontró que KFC no había designado un DPD, lo que resultó en una violación del artículo 37 de la RGPD.
La cadena de comida rápida explicó que no estaban obligados porque su actividad principal no es el tratamiento de datos de usuarios de la web, sino la de prestar servicios de restauración. Y, también, porque el número total de usuarios registrados en la web a nivel nacional es de 20.000.
Sin embargo, la AEPD ha manifestado que a pesar de que la actividad principal de la empresa sea la restauración, también trata datos al igual que, por ejemplo, lo hace un hospital.
La actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto, el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales deben, en consecuencia, designar un DPD.
Otro ejemplo sería el de una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal, que a su vez está ligada de manera indisociable al tratamiento de datos personales.
Y no tener DPD cuando es obligatorio “es un riesgo para la protección de datos de carácter personal y para la ciudadanía”.
Expresiones genéricas
Y por otro lado, han explicado que, efectivamente, no se ofrecía información precisa sobre los fines del tratamiento de datos al emplear expresiones como “podemos utilizar”.
Y es que tal y como requieren las Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679 del GT29, se debe evitarse el uso de calificativos del tipo «puede», «podría», «algunos», «frecuentemente» y «posible».
Además de la multa económica, ha ordenado a KFC nombrar un DPD y aplicar las medidas correctoras necesarias sobre la “Política de Privacidad”. La sanción no es firme y puede recurrirse ante la Sala de lo Contencioso de la Audiencia Nacional.
