GDPR: ¿qué empresas necesitan un delegado de protección de datos según el nuevo Reglamento Europeo?

Posted by media on 8/12/16 9:00

GDPR_qué_empresas_necesitan_delegado_de_protección_de_datos_Reglamento_Europeo.png

El Delegado de Protección de Datos, abreviado habitualmente como DPO y en inglés conocido como “Data Protection Officer” es una figura reconocida en el nuevo Reglamento Europeo de Protección de Datos - Reglamento (UE) 2016/679 (GDPR) - que entró en vigor el pasado mes de mayo de 2016.

Esta figura recaerá en una persona que deberá ser nombrada por los responsables o encargados del tratamiento, cuando se produzcan una serie de circunstancias relacionadas con el tratamiento de los datos de carácter personal, y que llevará a cabo varias funciones relacionadas precisamente con dicho tratamiento.

En este post vamos a explicar bajo qué circunstancias las empresas están obligadas a incorporar un delegado de protección de datos.

Este post también está disponible en inglés.



¿Cuándo es necesario incorporar un Delegado de Protección de Datos en una empresa?

Aunque el Reglamento reconoce esta figura, no la define. Lo que sí indica el Reglamento es cuándo es necesario su nombramiento, esto es, en qué supuestos, así como también establece ciertas particularidades que debería reunir en su persona esta figura o cargo.

Así, el Reglamento en su artículo 37 establece que será necesario el nombramiento de un delegado de protección de datos cuando:

  1. "El tratamiento se lleve a cabo por una autoridad u organismo público, exceptuando los tribunales que actúen como consecuencia del ejercicio de su función judicial;" 

  2. Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;

  3. "Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del Reglamento y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10."

¿En qué se diferencian un responsable de un encargado del tratamiento de datos personales?

El responsable del fichero del tratamiento (con el nuevo Reglamento, será solo conocido como responsable del tratamiento) es la empresa, profesional o persona, de naturaleza pública o privada, o bien órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realice materialmente.

Por ejemplo: la empresa que tiene una app para ofrecer un determinado servicio a los usuarios, será responsable del tratamiento de los datos de sus usuarios.

El encargado de tratamiento es también la persona física o jurídica, pública o privada, o bien el órgano administrativo que, solo o en conjunción con otros, trate datos personales del responsable anterior, todo ello, en virtud de una relación jurídica o contrato que le vincula y por el que le presta un servicio, accediendo a los datos personales que requiera para poder llevarla a cabo.

Siguiendo con el ejemplo anterior: un encargado de tratamiento podría ser la gestoría que confecciona las nóminas del personal de la empresa titular de la aplicación móvil; o la empresa que almacena la información en la nube, efectuando copias de seguridad de las bases de datos de los usuarios, por citar algunos casos.


Imprecisiones del Artículo 37 del nuevo Reglamento de Protección de Datos (GDPR)

Una de las imprecisiones que tiene el nuevo Reglamento, observada en el mencionado Artículo 37, sería la definición de lo que se entiende por “observación habitual y sistemática”, mientras que otra sería la definición de la expresión “a gran escala”.

> ¿Qué se entiende por “observación habitual y sistemática”?


Desde un punto de vista legal faltaría definir lo que se entiende por “observación habitual y sistemática”, porque genera muchas dudas. Por ejemplo,  ¿puede considerarse habitual y sistemático el tratamiento que hace una empresa de los datos de sus empleados para la confección de sus nóminas, independientemente del número de empleados, si se efectúa por ejemplo, una sola vez al mes? Ciertamente, podría considerarse habitual (cada mes) y sistemático (se sigue siempre un sistema). Si bien, no sería en principio la actividad principal de esa empresa, por lo que quedaría descartada la aplicación y necesidad de disponer un DPO.

Pero entonces, ¿es sistemático y habitual el tratamiento que puede producirse por parte de la aplicación móvil antes comentada respecto del tratamiento de datos de sus usuarios? Realizando el mismo análisis que antes, entendiendo habitual como algo que ocurre con una frecuencia regular, y sistemático como algo que sigue una metodología o sistema, deberíamos decir que dicho tratamiento mediante app sí lo es. Y sí constituye la actividad principal de la empresa dueña de la app, puesto que se ofrece un servicio mediante dicha app y se recaban los datos de los usuarios precisamente para poder ofrecerlo.

Ahora bien, como se establece en el artículo 37.b, el requisito de que sea una “observación habitual y sistemática” va condicionado al hecho de que dicho tratamiento sea a “gran escala”. Entonces, en el ejemplo anterior ya no estaría tan claro que se dieran las condiciones indispensables para necesitar un DPO dentro de nuestra organización o empresa.


> ¿Qué se entiende por tratamiento “a gran escala”?


A efectos de comprender lo que se entiende por tratamiento “a gran escala”, recomendamos tener en cuenta el
Considerando 91 del propio Reglamento, que establece las siguientes ideas y situaciones, para las que además recomienda efectuar una evaluación de impacto de privacidad del proyecto:

  • "Las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos."
  • "Casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas." 
  • "Para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos (tecnología que combina óptica y electrónica) o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala." 
  • "El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria."

En consecuencia, será necesario un Delegado de Protección de Datos cuando el responsable de tratamiento efectúe - valga la redundancia - un tratamiento de datos a gran escala en el sentido de lo indicado en el anterior punto y lo haga de manera ordenada, sistematizada y con carácter habitual.

> ¿Qué se entiende por tratamiento de una “cantidad de datos considerable” y por “gran número de interesados”?

Desde un punto de vista legal, otras indeterminaciones serían las expresiones “cantidad de datos considerable” y “gran número de interesados”. 

Así, en el texto de la propuesta de Reglamento se determinaba que cuando se recogieran y tratasen datos personales de más de 5.000 personas físicas en un plazo de un año ininterrupidamente, se podía considerar de aplicación la figura del DPO.

Por ende, desde un punto de vista legal, se tendría que considerar que estas cifras marcan lo que es una “cantidad de datos considerable” o “gran número de interesados”. Sin embargo, en el nuevo Reglamento no se especifica, por lo que habrá que esperar a ver cómo evolucionan las leyes nacionales o los criterios de las autoridades europeas para ver si se pronuncian al respecto.

No obstante todo lo comentado hasta este punto, es probable que todas estas indeterminaciones se maticen con el tiempo, bien porque habrá precisiones al respecto emitidas por las leyes nacionales que, en su caso, complementen este Reglamento europeo; bien porque las autoridades europeas de protección de datos, o el Grupo de Trabajo del Artículo 29, se pronuncien al respecto.

Casos en los que incorporar un DPO es recomendable, pero no obligatorio

Por otro lado, el propio Reglamento indica otros casos donde no es obligatoria la incorporación de un DPO pero sí recomendable. Estos casos son:

  • Cuando exista una complejidad legal en el tratamiento de los datos;
  • Para una mayor concienciación de los interesados sobre sus derechos y vías de protección de sus datos;
  • En aras de velar por la privacidad de los clientes o usuarios y también para prevenir el incurrir en sanciones.

Otra duda que surge es sobre si será necesario o no tener a un delegado de protección de datos es para las empresas de menos de 250 trabajadores, puesto que el sentido del Reglamento es tener en cuenta también a las pequeñas y medianas empresas (Considerando 13 del Reglamento) a los efectos de no darles más obligaciones, en principio, de las que podrían asumir. Se entiende que dependerá también de la complejidad de la empresa y de la categoría y volumen de datos tratados por ella. Habrá que ver cómo evoluciona esta idea.

También se establece que un grupo empresarial podrá nombrar a un único delegado de protección de datos, siempre que sea fácilmente accesible desde cada establecimiento que se disponga.


De forma adicional, también se establece que cuando el responsable o el encargado del tratamiento recaiga en una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

En el siguiente post hablaremos de las funciones que tiene un DPO, de qué requisitos se deben cumplir para serlo, y de a partir de cuándo será obligatorio disponer de esta figura en tu empresa.

Este post también está disponible en inglés.



Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


New Call-to-action


POSTS RELACIONADOS


Tags: GDPR

Subscríbete al blog

Últimos posts