Читать книгу Derecho digital - José F. Estévez - Страница 10

El RGPD introduce esta figura, en su artículo 37. Tanto los Responsables como los Encargados del Tratamiento deben nombrar un Delegado de Protección de Datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (V.gr: opiniones políticas, datos biométricos, de salud etc.), así como de datos relativos a condenas e infracciones penales.

En los casos de Grupos de Empresas, es posible nombrar un único delegado de protección de datos para todas las empresas pertenecientes al Grupo, siempre que sea fácilmente accesible desde cada establecimiento. Asimismo, puede ser una persona de la organización o un tercero ajeno a la empresa, ya sea persona física o jurídica, si bien, deberá existir la correspondiente relación contractual entre el Responsable o Encargado y la persona designada como DPO.

Entre las funciones del delegado de protección de datos, se pueden mencionar, entre otras, las siguientes:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben;

a) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones que le resulten aplicables, así como de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales;

b) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos en casos de tratamientos de alto riesgo.

Dada la redacción del RGPD, la obligatoriedad o no, de nombrar un DPO ha quedado muy abierta, pues, no ha quedado definido que debemos considerar tratamientos a “gran escala”. De hecho, es una de las cuestiones que más preocupan a las empresas y entidades que tratan datos de carácter personal.

Es cierto que se han aprobado, por parte del Grupo del Artículo 29, directrices sobre la figura del Delegado de Protección de Datos, si bien es cierto que no existe una solución cerrada y sigue optando por un criterio abierto, de forma que, salvo excepciones muy evidentes, corresponderá al Responsable evaluar si necesita contar o no con un DPO.

En este sentido, el propio Grupo del Artículo 29, recomienda que aun cuando sea evidente que no es necesario contar con un DPO, quede documentado el análisis realizado por el Responsable para llegar a dicha conclusión y adoptar la decisión.

En cuanto a las Directrices que recoge el Grupo del Artículo 29 cabe destacar lo siguiente:

a) Analiza someramente qué debemos entender por “autoridades públicas”. En este sentido, no únicamente se alcanzaría a los órganos de las Administraciones Públicas, sino también todos aquellos órganos y entidades que forman parte del sector público en la medida que desempeñen o tengan atribuidas competencias administrativas (entidades públicas empresariales, colegios profesionales o corporaciones de derecho público).

b) Respecto al concepto de “actividad principal” aclara el Grupo del Artículo 29 que el RGPD no se refiere a que la actividad principal consista en la recogida y tratamiento de los datos, sino a todas aquellas actividades que precisan recabar datos para realizar sus actividades, para ello acude al ejemplo de los hospitales, su actividad principal es prestar asistencia sanitaria, pero para ello necesitan tratar información personal de los pacientes.

c) El concepto más controvertido es, sin lugar a dudas, el tratamiento de datos a “gran escala”, así como el que más inquietud y cuestiones ha planteado entre los responsables de ficheros. En este sentido, el Grupo del Artículo 29, al igual que hace el RGPD, no facilita una definición de lo que constituye “gran escala”, sino que se limita a enumerar una serie de factores o criterios a tener en cuenta para valorar si existe este tipo de tratamientos, en particular:

- El número de interesados involucrados —bien como cifra concreta o como proporción de la población correspondiente—.

- El volumen de datos o el abanico de diferentes conceptos de datos que se procesan.

- La duración, o permanencia, de la actividad de tratamiento de datos

- El alcance geográfico de la actividad de tratamiento.

Asimismo, incluye una lista, con carácter orientativo, de ejemplos de actividades que se considerarían como tratamientos a gran escala:

- “Procesamiento de datos de pacientes por parte de un hospital

- Tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad (p. Ej. Seguimiento a través de tarjetas de transporte)

- Tratamiento de datos de geo-localización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios.

- Tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco

- Tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda

- Tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet.”

Por otra parte, se incluyen como ejemplos de tratamientos que no serían considerados a gran escala, el tratamiento de datos de pacientes por un médico o de condenas e infracciones por un abogado.

De acuerdo con el Grupo del Artículo 29 por “seguimiento regular y sistemático“, el RGPD no se refiere únicamente al entorno on-line y el seguimiento en Internet del comportamiento de usuarios y navegantes, los cuales, son únicamente un ejemplo de este concepto.

Igual que con el concepto de “gran escala”, la determinación de si existe un seguimiento regular y sistemático queda en el tejado de responsables y encargados del tratamiento que deberán evaluar este extremo. No obstante, se facilitan algunos criterios y orientaciones para realizar dicho análisis que reproducimos a continuación:

“El GP29 interpreta «regular» con algunos de los siguientes significados:

- Continuado o que se produce a intervalos concretos durante un periodo concreto;

- Recurrente o repetido en momentos prefijados;

- Que se produce de forma constante o periódica.

El GP29 interpreta «sistemático» con algunos de los siguientes significados:

- Que se produce de acuerdo con un sistema;

- Preestablecido, organizado o metódico;

- Que tiene lugar como parte de un plan general de recogida de datos;

- Llevado a cabo como parte de una estrategia.”

En todo caso, si el Responsable o Encargado deben contar con un DPO, el mismo deberá ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos.

Asimismo, su designación y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión.

La AEPD ha hecho público que habilitará un sistema de certificación de DPO para acreditar los conocimientos de los mismos, si bien, se tratará de un sistema voluntario, no siendo obligatorio que la persona designada DPO deba estar certificada ante la AEPD u otros organismos.