¿Qué empresas tendrán que contratar un delegado de protección de datos?

20 Mar ¿Qué empresas tendrán que contratar un delegado de protección de datos?

Ya no queda nada para que se produzca la entrada en vigor del nuevo Reglamento General de Protección de Datos. Mayo de 2018 es la fecha asignada, por lo que el tiempo se agota para quienes deben adaptarse a la nueva normativa. Esta norma será de aplicación obligatoria a partir de esa fecha e impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la contratación de un delegado de protección de datos (DPO, por sus siglas en ingés: data protection officer) en determinados supuestos. ¿En qué casos ocurre así? ¿Qué empresas tendrán que contratar un delegado de protección de datos?

La Agencia Española de Protección de Datos (AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan los conceptos a los que se refiere el Reglamento.

Tres supuestos de designación obligatoria del delegado de protección de datos

El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD: (1) cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.

El GP29 recomienda que, en caso de duda de si una empresa entra dentro de esos supuestos, ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.

El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que requieren una mayor precisión.

“Actividades principales”

Cuando los dos segundos apartados se refieren a las “actividades principales del responsable o el encargado del tratamiento”, hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.

Tal y como recoge elEconomista, se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de ésta (una app que maneja perfiles, por ejemplo), o bien cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.

En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad auxiliar. Así, no dará lugar a la obligación de contratar un delegado.

“A gran escala”

El Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es “a gran escala”. El GP29, sin embargo, no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un delegada.

De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es “a gran escala” son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.

“Seguimiento regular y sistemático”

Por “seguimiento” debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.

Al hablar de “regular” se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.

Y, finalmente, por “sistemático”, el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.

¿Necesitas ayuda para ponerte al día en materia de protección de datos? Contáctanos y te ayudaremos.