La AEPD ha sancionado a KFC con 20.000€ por la falta de nombramiento de un Delegado de Protección de Datos lo que supone una infracción del artículo 37 del RGPD.
En este sentido, debe atenderse a la definición facilitada por el GT29, ahora EDPB, que entiende el término “«habitual» con uno o más de los siguientes significados: continuado o que se produce a intervalos concretos durante un periodo concreto; recurrente o repetido en momentos prefijados; que tiene lugar de manera constante o periódica. Y «sistemático» con uno o más de los siguientes significados: que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; llevado a cabo como parte de una estrategia”.
En cuanto a la gran escala, la resolución reitera lo siguiente: “A pesar de que el RGPD no define qué se entiende por tratamiento a gran escala, tanto el considerando 91 del RGPD como el Grupo de Trabajo del artículo 29 dan orientaciones al respecto, teniendo en cuenta los siguientes factores a la hora de determinar si un tratamiento se realiza a gran escala: el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia, de la actividad de tratamiento de datos; el alcance geográfico de la actividad de tratamiento”.
Además, ha sancionado a la compañía con una multa de 5.000€ por infringir el artículo 13 del RGPD, al no suministrar información sobre el tratamiento de los datos personales obtenidos en la “Política de Privacidad”.