A VER ¿DEBE MI EMPRESA CONTRATAR UN DELEGADO DE PROTECCIÓN DE DATOS O NO?

29 Oct A VER ¿DEBE MI EMPRESA CONTRATAR UN DELEGADO DE PROTECCIÓN DE DATOS O NO?

Pues eso depende, y no podemos darle una respuesta de esas cortitas y escuetas que todos esperaríamos tener, especialmente en un área de las obligaciones empresariales tan importante y sobre la que incumplir con el ordenamiento significa un riesgo de tener que afrontar muy elevadas sanciones económicas o multas. Y la razón es que simplemente la Ley tal y como está actualmente redactada no permite una interpretación exacta, concreta y totalmente esclarecedora de la cuestión. Pero no se asuste mucho: hay bastantes criterios que mirados con un poco de atención y detenimiento, le van a despejar sus dudas y seguro que le harán llegar a la conclusión que necesita.

Vamos a ello.

Empecemos por la parte general de la respuesta: Según el artículo 37.1 del Reglamento (UE) 2016/679 de Protección de Datos (RGPD), el responsable y el encargado del tratamiento designarán un delegado de protección de datos (DPD) siempre que:

• a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
• b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
• c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Y ahora vayamos a la interpretación de los puntos oscuros de esta norma, que como se habrá usted percatado, están en los apartados b) y c) anteriores, ya que el apartado a) es una bendición de claridad y no hay que darle muchas vueltas para entenderlo, (menos mal, muchas gracias).

La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de «observación del comportamiento de los interesados» se menciona otras partes de la norma e incluye claramente toda forma de seguimiento y creación de perfiles en internet, o también con fines de publicidad que se base en comportamientos de las personas.

No obstante, el concepto de observación no se limita al entorno en línea (on line) y el seguimiento on line debe considerarse solo un ejemplo de observación del comportamiento de los interesados.

Se ha de interpretar «habitual» con uno o más de los siguientes significados:

–continuado o que se produce a intervalos concretos durante un periodo concreto;

–recurrente o repetido en momentos prefijados;

-que tiene lugar de manera constante o periódica.

Se ha de interpretar «sistemático» con uno o más de los siguientes significados:

-que se produce de acuerdo con un sistema;

–preestablecido, organizado o metódico;

-que tiene lugar como parte de un plan general de recogida de datos;

-llevado a cabo como parte de una estrategia.

Vale, y ahora ¿qué entendemos por tratamiento a gran escala?

Pues es aquí donde hemos de ponernos estupendamente inconcretos, ya que el RGPD no lo define y no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos dicho concepto.

Mientras tanto me temo hay que cavilar un poco más, y por lo menos, los organismos institucionales que van interpretando con oficialidad y exquisitez de qué puñetas estamos hablando recomiendan que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

– el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

– el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;

– la duración, o permanencia, de la actividad de tratamiento de datos;

– el alcance geográfico de la actividad de tratamiento.

Como ejemplos de tratamiento a gran escala el Comité Europeo de Protección de Datos (CEPD), cita los siguientes. (Algo es algo, a ver si lo aluden a usted y ya va pudiendo irse a la caza de un DPD):

– el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;

– el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);

– el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;

– el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;

– el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;

– el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

Por el contrario, como casos que no constituyen tratamiento a gran escala señala (a ver si ahora se refieren a usted y puede irse a tomar un cervezón) :

– el tratamiento de datos de pacientes por parte de un solo médico;

– el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

Los que sigáis ahí (sí, ya lo sé, sois muchedumbre sedienta) tenéis que tener en cuenta que tanto desde la UE como desde la Agencia Española de Protección de Datos (AEPD), y en el marco del principio de responsabilidad proactiva, se insta a que los responsables y encargados del tratamiento documenten el análisis interno realizado para determinar si debe nombrarse o no un DPD, a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes. Este análisis forma parte de la documentación requerida con arreglo al principio de rendición de cuentas. Puede ser exigido por la autoridad de control y debe actualizarse cuando sea necesario.

Cuando una organización designe un DPD de forma voluntaria, cosa que se recomienda por las autoridades a la menor duda ya que se les facilita la vida mientras usted se gasta unos cuartos (¡Vamos!, tampoco va a ser un pastizal, se lo digo yo) se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del RGPD, como si el nombramiento fuera obligatorio conforme a los supuestos tasados. De igual modo, indicar que la función del DPD puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena a la organización del responsable o del encargado del tratamiento.

En definitiva, con toda esa información, deberán analizar a la hora de determinar la obligatoriedad o no de contar con un DPD, qué datos sensibles tratan (por ejemplo, datos de salud), el número de tratamientos, el alcance geográfico, etc…