19 de agosto de 2019 | 11:08
LEGAL TODAY. POR Y PARA ABOGADOS
 

Herramientas para el texto

Blog PRODAT

26 de Junio de 2017

Eva Fonfría Martínez

Directora del Área de Consultoría de la Delegación de PRODAT en Extremadura y Portugal

¿Necesitas un Delegado de Protección de Datos?

Aunque en algunos países de la Unión Europea ya existe la figura del Delegado de Protección de Datos (en adelante DPD), como en Alemania, Bélgica, Hungría o Polonia, con la entrada en vigor en mayo de 2018 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), esta figura formará parte de nuestro ordenamiento jurídico.


El DPD viene regulado en la sección 4ª del RGPD, concretamente es en su artículo 37.1 donde establece las organizaciones que deberán nombrar un DPD:

    1) Autoridades y organismos públicos.

    2) Organizaciones que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, o que procesen categorías especiales de datos personales a gran escala.

El primer supuesto, cuando el tratamiento lo lleve a cabo una autoridad u organismo público, ya ha sido analizado en este mismo blog por nuestra compañera Tamara Morales en el artículo "El Reglamento General de Protección de Datos y las Administraciones Públicas", por lo que no será objeto de análisis.

Lo que sí puede crear algunas dudas, sobre si un responsable o encargado del tratamiento debe nombrar un DPD dentro de su organización, son los términos del segundo punto: «Actividades principales del responsable o el encargado del tratamiento», "gran escala", "seguimiento regular o sistemático" o "categorías especiales de datos personales".

¿Está tu organización obligada a nombrar un DPD?

En este sentido, seguiremos el análisis realizado por el Grupo de Trabajo del Artículo 29 (GT29) en sus Directrices sobre los delegados de la protección de datos, que intenta dar luz a estas cuestiones.

En primer lugar, debemos señalar que el GT29 recomienda que todas las entidades cuenten con un DPD, ya que facilita el cumplimiento de la normativa. Además, el GT29 recomienda que los responsables y encargados del tratamiento documenten el análisis interno llevado a cabo para determinar si debe nombrarse o no un DPD a fin de poder demostrar que se han tenido en cuenta adecuadamente los factores pertinentes.

"Actividades principales del responsable o el encargado del tratamiento":

El GT29 establece en sus directrices que las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o el encargado del tratamiento. Pone de ejemplo la actividad de un hospital, que es la de prestar asistencia sanitaria, pero que no podría funcionar sin el tratamiento de datos de salud. Por tanto, un hospital sería un sujeto obligado a tener un DPD.

"A gran escala":

En el Considerando 91 del RGPD podemos encontrar una aproximación del significado que se pretende dar al término "Gran escala": "operaciones de tratamiento a gran escala que tengan por objeto procesar una cantidad considerable de datos personales en el ámbito regional, nacional o supranacional, que pudieran afectar a un gran número de interesados y que sean susceptibles de generar un riesgo elevado".

Debido a la imposibilidad de señalar una cifra exacta que se convierta en el umbral de los tratamientos a gran escala, el GT29 recomienda que se tengan en cuenta algunos factores, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:  número de interesados involucrados; volumen de datos o el abanico de diferentes conceptos de datos que se procesan; duración o permanencia de la actividad de tratamiento de datos; alcance geográfico de la actividad de tratamiento.

Asimismo, el GT29 pone algunos ejemplos de lo que serían tratamientos a gran escala: tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad; tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios; tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco; tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda; tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet. 

"Seguimiento regular y sistemático":

En este sentido el GT 29 deja claro que este concepto incluye todas las formas de seguimiento y creación de perfiles en Internet, inclusive a efectos de publicidad basada en el comportamiento.  No obstante, aclara el GT29, la noción de seguimiento no está limitada al entorno on-line.

Establece algunos ejemplos de operaciones de este tipo: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correo electrónico; creación de perfiles y puntuación con fines de evaluación de riesgos; seguimiento de ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelización; publicidad basada en el comportamiento; seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles; circuito cerrado de televisión; dispositivos conectados...

"Categorías especiales de datos y datos relativos a condenas y delitos penales":

En este punto no existe controversia, ya que el propio Artículo 37.1 nos remite a los datos recogidos en los Artículos 9 y 10 del RGPD. No obstante, el GT29 aclara que aunque en el texto aparece la conjunción "Y" debe entenderse como "O": "Categorías especiales de datos o datos relativos a condenas y delitos penales".

¿Cómo se regulará en la norma nacional española?

En su 9ª sesión anual abierta, la AEPD no quiso pronunciarse sobre si la ley que sustituirá a la actual LOPD contendrá algún tipo de listado de organizaciones o sectores obligados. No obstante, expuso una lista de organizaciones, a título enunciativo y no exhaustivo, donde sí se dan los requisitos del Artículo 37.1 del RGPD:

  • Entidades aseguradoras y reaseguradoras.
  • Distribuidores y comercializadores de energía eléctrica o gas natural.
  • Entidades responsables de sistemas de información crediticia.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios.
  • Centros docentes que ofrezcan enseñanzas regladas, universidades.
  • Colegios profesionales.
  • Entidades dedicadas al juego on line...

La AEPD también dejó claro que a partir de mayo de 2018 todas las obligaciones impuestas por el RGPD serán de aplicación, ya que el plazo de adaptación a la normativa empezó a contar desde su entrada en vigor, por lo que no esperes a mayo de 2018 para designar un DPD. Capítulo aparte será decidir cuál es el modelo de DPD más adecuado para tu organización: modelo de DPD centralizado, descentralizado, interno, externo...  


  • Comparte esta noticia en linkedin

Te recomendamos

  • La prueba en el proceso social (DUO)

    La prueba en el proceso social (DUO)

    La obra contiene un análisis exhaustivo de la prueba en el proceso social. En la parte general, se analiza la prueba como derecho fundamental, y sus límites, en particular la prueba ilícita y se estudia en profundidad el régimen general de la prueba en el proceso.

Blog


Datos personales

Correo electrónico: info@prodat.es Web: www.prodat.es PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica ...ver perfil

Archivo del blog

 
 

Hemos actualizado nuestra Política de Privacidad. Antes de continuar por favor lea nuestra nueva Declaración de Privacidad. Además utilizamos cookies propias y de terceros para mejorar nuestros servicios y poder ofrecerle las mejores opciones mediante el análisis de la navegación. Si continúa navegando, consideramos que acepta su uso. Para más información pulse aquí.   Aceptar