LegalToday

Por y para abogados

Portal jurídico de Thomson Reuters, por y para abogados

09/07/2020. 16:52:33

LegalToday

Por y para abogados

Blog PRODAT

¿Necesitas un Delegado de Protección de Datos?

Directora del Área de Consultoría de la Delegación de PRODAT en Extremadura y Portugal

Aunque en algunos países de la Unión Europea ya existe la figura del Delegado de Protección de Datos (en adelante DPD), como en Alemania, Bélgica, Hungría o Polonia, con la entrada en vigor en mayo de 2018 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), esta figura formará parte de nuestro ordenamiento jurídico.

Protección Datos

El DPD viene regulado en la sección 4ª del RGPD, concretamente es en su artículo 37.1 donde establece las organizaciones que deberán nombrar un DPD:

    1) Autoridades y organismos públicos.

    2) Organizaciones que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, o que procesen categorías especiales de datos personales a gran escala.

El primer supuesto, cuando el tratamiento lo lleve a cabo una autoridad u organismo público, ya ha sido analizado en este mismo blog por nuestra compañera Tamara Morales en el artículo "El Reglamento General de Protección de Datos y las Administraciones Públicas", por lo que no será objeto de análisis.

Lo que sí puede crear algunas dudas, sobre si un responsable o encargado del tratamiento debe nombrar un DPD dentro de su organización, son los términos del segundo punto: «Actividades principales del responsable o el encargado del tratamiento», "gran escala", "seguimiento regular o sistemático" o "categorías especiales de datos personales".

¿Está tu organización obligada a nombrar un DPD?

En este sentido, seguiremos el análisis realizado por el Grupo de Trabajo del Artículo 29 (GT29) en sus Directrices sobre los delegados de la protección de datos, que intenta dar luz a estas cuestiones.

En primer lugar, debemos señalar que el GT29 recomienda que todas las entidades cuenten con un DPD, ya que facilita el cumplimiento de la normativa. Además, el GT29 recomienda que los responsables y encargados del tratamiento documenten el análisis interno llevado a cabo para determinar si debe nombrarse o no un DPD a fin de poder demostrar que se han tenido en cuenta adecuadamente los factores pertinentes.

"Actividades principales del responsable o el encargado del tratamiento":

El GT29 establece en sus directrices que las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o el encargado del tratamiento. Pone de ejemplo la actividad de un hospital, que es la de prestar asistencia sanitaria, pero que no podría funcionar sin el tratamiento de datos de salud. Por tanto, un hospital sería un sujeto obligado a tener un DPD.

"A gran escala":

En el Considerando 91 del RGPD podemos encontrar una aproximación del significado que se pretende dar al término "Gran escala": "operaciones de tratamiento a gran escala que tengan por objeto procesar una cantidad considerable de datos personales en el ámbito regional, nacional o supranacional, que pudieran afectar a un gran número de interesados y que sean susceptibles de generar un riesgo elevado".

Debido a la imposibilidad de señalar una cifra exacta que se convierta en el umbral de los tratamientos a gran escala, el GT29 recomienda que se tengan en cuenta algunos factores, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:  número de interesados involucrados; volumen de datos o el abanico de diferentes conceptos de datos que se procesan; duración o permanencia de la actividad de tratamiento de datos; alcance geográfico de la actividad de tratamiento.

Asimismo, el GT29 pone algunos ejemplos de lo que serían tratamientos a gran escala: tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad; tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios; tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco; tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda; tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet. 

"Seguimiento regular y sistemático":

En este sentido el GT 29 deja claro que este concepto incluye todas las formas de seguimiento y creación de perfiles en Internet, inclusive a efectos de publicidad basada en el comportamiento.  No obstante, aclara el GT29, la noción de seguimiento no está limitada al entorno on-line.

Establece algunos ejemplos de operaciones de este tipo: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correo electrónico; creación de perfiles y puntuación con fines de evaluación de riesgos; seguimiento de ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelización; publicidad basada en el comportamiento; seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles; circuito cerrado de televisión; dispositivos conectados…

"Categorías especiales de datos y datos relativos a condenas y delitos penales":

En este punto no existe controversia, ya que el propio Artículo 37.1 nos remite a los datos recogidos en los Artículos 9 y 10 del RGPD. No obstante, el GT29 aclara que aunque en el texto aparece la conjunción "Y" debe entenderse como "O": "Categorías especiales de datos o datos relativos a condenas y delitos penales".

¿Cómo se regulará en la norma nacional española?

En su 9ª sesión anual abierta, la AEPD no quiso pronunciarse sobre si la ley que sustituirá a la actual LOPD contendrá algún tipo de listado de organizaciones o sectores obligados. No obstante, expuso una lista de organizaciones, a título enunciativo y no exhaustivo, donde sí se dan los requisitos del Artículo 37.1 del RGPD:

  • Entidades aseguradoras y reaseguradoras.
  • Distribuidores y comercializadores de energía eléctrica o gas natural.
  • Entidades responsables de sistemas de información crediticia.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios.
  • Centros docentes que ofrezcan enseñanzas regladas, universidades.
  • Colegios profesionales.
  • Entidades dedicadas al juego on line…

La AEPD también dejó claro que a partir de mayo de 2018 todas las obligaciones impuestas por el RGPD serán de aplicación, ya que el plazo de adaptación a la normativa empezó a contar desde su entrada en vigor, por lo que no esperes a mayo de 2018 para designar un DPD. Capítulo aparte será decidir cuál es el modelo de DPD más adecuado para tu organización: modelo de DPD centralizado, descentralizado, interno, externo…  

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.