Devesa 0705

Ante la entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante “GDPR”, por sus siglas en inglés) del pasado mayo de 2018, una de la cuestiones que más interés ha suscitado es la que hace referencia a la “obligatoriedad” de tener que nombrar un Delegado o Encargado de Protección de Datos (en adelante “DPO”, igualmente por sus siglas en inglés) por parte de una organización pública o privada en función del cumplimiento de determinados requisitos o circunstancias que afectan a la misma.

El análisis de conjunto de la citada norma, así como del proyecto de la nueva Ley de Protección de Datos (en adelante, “PLOPD”) e incluso de las consideraciones del denominado G29 (grupo de expertos UE) en torno a éste crucial aspecto de la nueva normativa europea no resulta nada halagüeño en aras a despejar las múltiples dudas que, como decimos, se han suscitado al respecto, toda vez que los supuestos de hecho a que se refiere la norma prevista en el artículo 37.1. del GDPR, en concreto, en sus apartados o letras b) y c) resultan, cuando menos, difícilmente interpretables básicamente por (1) la ambigüedad de las palabras que se han usado en dichos preceptos, así como (2) la vaguedad de los propios conceptos –hecho éste mucho más grave– con los que han sido construidos dichos supuestos por el legislador europeo.

 

¿Cuándo es obligatorio nombrar un delegado de protección de datos?

En atención a la brevedad que debe revestir un texto como el que nos ocupa simplemente debemos señalar que el GDPR, en su artículo 37 y Considerando 97 establece la obligatoriedad del nombramiento de un delegado de protección de datos (DPO), en los siguientes casos:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

 

¿En qué supuesto debemos nombrar un delegado de protección de datos?

Un vez sentado que (1) cualquier organización a la que sea de aplicación esta norma podrá voluntariamente designar un DPO –que una vez nombrado deberá cumplir con todo lo dispuesto en torno a él por el reglamento– y que (2) las autoridades y organismos públicos -a excepción de los tribunales- vendrán obligados al nombramiento del delegado de protección de datos (DPO), podemos señalar que de la detenida lectura de las letras b) y c) del meritado artículo, obtenemos los siguientes supuestos:”

  • “Actividades principales” de responsables y encargados que requieran operaciones de tratamiento que consistan en el “seguimiento regular y sistemático” de interesados a “gran escala”.
  • Actividades principales de responsables y encargados que requieran el tratamiento a “gran escala” de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

Así pues parecería, a primera vista, que “actividad principal” “seguimiento regular y sistemático” y “gran escala” serán los conceptos que determinen el alcance y significado de la obligatoriedad o necesariedad de implementar esta figura en una organización.

En una primera aproximación, desgranando ambos conceptos, obtendríamos dos sub supuestos de hecho en lo que al primero de ellos se refiere “actividad principal” pudiendo distinguir entre:

  • El tratamiento de datos personales constituye la actividad principal de las Operaciones clave necesarias para lograr los objetivos del responsable o del encargado de tratamiento.
  • Actividades en las que el tratamiento de datos sea una parte indisoluble de la actividad del responsable o del encargado de tratamiento.
  • Hospital: prestación de cuidados sanitarios a pacientes
  • Empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y espacios públicos: vigilancia.

Por contraposición, actividad secundaria será todo aquél tratamiento que se realiza por las funciones de apoyo a la organización tales como pago de nóminas, seguridad sistemas, etc,..

En relación al concepto “gran escala”, conforme al Considerando 91 del GDPR, podríamos concluir grosso modo que se trata, en principio, de toda cantidad considerable de datos personales a nivel regional, nacional o supranacional que afecten a un gran número de interesados y que sean susceptibles de generar un riesgo elevado: “muchos datos de mucha gente”. Y, a contrario sensu NO ES “gran escala” el tratamiento de datos de pacientes o clientes realizado por un médico, otro profesional de la salud o un abogado.

El GP29 nos indica por un lado, qué debemos entender por  “gran escala” señalando qué  factores debemos tener en cuenta para ello, tales como: Número de interesados, Volumen de datos, Diferentes conceptos de datos, Duración o permanencia de la actividad de tratamiento y el Alcance geográfico.

Por otro lado, nos indica qué es “gran escala” en todo caso:

  • Actividad de un hospital
  • Sistema de seguimiento de tarjetas de transporte.
  • Geolocalización de clientes con fines estadísticos.
  • Aseguradoras y Bancos.
  • Tratamiento de datos para publicidad basada en el comportamiento de un motor de búsqueda.
  • Tratamiento de datos de telefonía o servicios de Internet.

Y finalmente, en relación al concepto de ”seguimiento regular y sistemático” según el Considerando 24 del GDPR, tendríamos que éste concepto albergaría:

  • Las actividades de tratamiento de control del comportamiento de los interesados.
  • Incluye todas las formas de seguimiento y creación de perfiles en Internet.
  • No se limita solo al entorno on-line.

Por su parte GP29, nos indica en relación a los dos conceptos, lo siguiente:

REGULAR: continuado o a intervalos concretos durante periodo concreto; recurrente o repetido en momentos prefijados o que se produce de manera constante o periódica.

SISTEMÁTICO: de acuerdo con un sistema; preestablecido, organizado o metódico; como parte de un plan general de recogida de datos; como parte de una estrategia.

Al tiempo de que nos brinda algunos ejemplos:

  • Operar una red de telecomunicaciones.
  • Prestar servicios de telecomunicaciones.
  • Redireccionar correo electrónico.
  • Creación de perfiles y puntuación con fines de evaluación de riesgos (con fines de puntuación crediticia, establecimiento de primas de seguros, prevención del fraude, detección de blanqueo de dinero).
  • Seguimiento de ubicación (aplicaciones móviles).
  • Programas de fidelización.
  • Publicidad basada en el comportamiento.
  • Seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles.
  • Circuito cerrado de televisión.
  • Dispositivos conectados (contadores/coches inteligentes).

Finalmente, el artículo 34 PLOPD, nos indica un número de supuestos sobre los que predicar éste concepto de seguimiento regular y sistemático.

  • Colegios profesionales y sus consejos generales.
  • Centros docentes que ofrezcan enseñanzas reguladas ( vid Guía AEPD).
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
  • Prestadores de SSI cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades de crédito (bancos, cajas de ahorros, cooperativas de crédito).
  • Establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión. Distribuidores y comercializadores de energía eléctrica.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o gestión y prevención del fraude
  • Entidades que desarrollen actividades de publicidad y prospección comercial.
  • Centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
  • Quienes desempeñen actividades de seguridad privada.

En todos los casos, determinada la existencia de ésta obligación para una organización, el plazo para comunicar es de diez días a la AEPD: designación, nombramiento y cese del DPD (obligatorio/voluntario). La AEPD mantendrá una lista actualizada accesible por medios electrónicos.

A modo de conclusión debe señalarse pues que en tanto en cuanto el PLOPD será probablemente modificado a su paso por las cámaras legislativas y que la aplicación de la nueva norma europea  irá construyendo “doctrina” “guías” o criterios interpretativos conforme los órganos de control deban ir pronunciándose acerca de vinculantes consultas o con motivo de infracciones sobre todos estos aspectos, la cuestión acerca de ésta “obligatoriedad” queda un poco al amparo de esta dos cuestiones por lo que el principio de prudencia y el de privacidad por defecto y por diseño, en caso de duda, quizá convendría nombrarlo o consultarlo al órgano de control para evitar problemas en futuras incidencias o eventos de seguridad.

 

Juan José Cortés 
Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados

Rate this post