La Audiencia Nacional ha confirmado la sanción impuesta por la Agencia Española de Protección de Datos (“AEPD”) al Colegio Oficial de Arquitectos de Granada por designar como delegado de protección de datos a una persona que desempeñaba funciones incompatibles con dicho cargo, al apreciar un conflicto de intereses contrario al artículo 38.6 del Reglamento General de Protección de Datos (“RGPD”).
El procedimiento trae causa del recurso contencioso-administrativo interpuesto por el Colegio profesional contra la resolución de la AEPD que le impuso una sanción de 5.000 euros por infracción del artículo 38.6 del RGPD. La entidad recurrente sostenía que el nombramiento de su secretario como delegado de protección de datos no infringía el RGPD, al no existir conflicto entre sus funciones estatutarias y las propias del delegado de protección de datos.
Sin embargo, la Audiencia Nacional considera acreditado que el secretario del Colegio de arquitectos participaba en decisiones relativas a los fines y medios del tratamiento de datos personales de colegiados y usuarios de los servicios colegiales. En particular, la sentencia destaca que, como miembro con voz y voto de la Junta de Gobierno, intervenía en cuestiones como la admisión y baja de colegiados, la suspensión de servicios colegiales, la gestión económica y patrimonial del Colegio o el ejercicio de la potestad disciplinaria.
Asimismo, el tribunal señala que las funciones atribuidas estatutariamente al secretario también tenían proyección directa sobre el tratamiento de datos personales, al corresponderle, entre otras tareas, resolver provisionalmente la admisión de nuevos colegiados, emitir certificaciones, llevar el registro de colegiados, gestionar las notificaciones de altas y bajas o custodiar los libros de actas.
Sobre esta base, la Audiencia Nacional concluye que quien debe supervisar el cumplimiento de la normativa de protección de datos no puede participar simultáneamente en la toma de decisiones sobre los tratamientos de datos personales, ya que ello compromete la objetividad e independencia exigidas al delegado de protección de datos.
El Colegio alegó, además, que la AEPD contraviene sus propios actos porque dio por bueno el nombramiento del delegado de protección de datos en otras actuaciones promovidas por el mismo colegiado reclamante, pero no acredita que en tal ocasión se examinara la existencia o no de conflicto de intereses.
La sentencia desestima íntegramente el recurso contencioso-administrativo y confirma la sanción impuesta por la AEPD. La resolución es susceptible de recurso de casación.