DPD Delegado Protección de Datos – Tratamiento a gran escala DPO Data Protection Officer – RGPD

¿Cómo interpretamos el concepto de tratamiento a gran escala a efectos de nombrar un DPD (Delegado de Protección de Datos – DPO Data Protection Officer)?

 

Según el artículo 37.1 del RGPD (Reglamento Europeo de Protección de Datos) el responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos (DPD o DPO en sus siglas inglesas) siempre que:

 

  1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo

 

Este precepto ha sido interpretado en el documento “Directrices sobre delegados de protección de datos” del Grupo de Trabajo del Artículo 29, que engloba a todas las autoridades europeas de protección de datos:

 

Así, el Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  • La duración, o permanencia, de la actividad de tratamiento de datos;
  • El alcance geográfico de la actividad de tratamiento.

 

Siguiendo con el citado dictamen, como ejemplos de tratamiento a gran escala cabe citar:

  • El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
  • El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
  • El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
  • El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
  • El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
  • El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o

 

Como casos que no constituyen tratamiento a gran escala cabe señalar:

  • El tratamiento de datos de pacientes por parte de un solo médico;
  • El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un

 

Por último, el proyecto de Ley Orgánica de Protección de Datos que se está tramitando, contempla en su artículo 34.1 los siguientes supuestos de nombramiento de Delegado de Protección de Datos (DPD/DPO):

 

Artículo 34. Designación de un Delegado de Protección de Datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
  2. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios
  3. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y
  4. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran
  5. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del
  6. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  7. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación
  8. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
  9. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
  10. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de
  11. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  12. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  13. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  14. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  15. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
  16. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *