¿NECESITA MI EMPRESA UN DELEGADO DE PROTECCIÓN DE DATOS? 

SECTORES CLAVE Y LOS CONCEPTOS JURÍDICOS INDETERMINADOS

Aunque han corrido ríos de tinta al respecto de la distinta casuística en la que es preceptiva la designación por parte de una empresa de un Delegado de Protección de Datos, aun hay profesionales de distintos sectores que desconocen que están desempeñando su actividad profesional de forma contraria a los parámetros establecidos por el Reglamento Europeo de Protección de Datos, o de la propia Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales.

En el siguiente post intentaremos arrojar algo de luz al respecto, con ayuda de las diversas publicaciones de la propia Agencia Española de Protección de Datos.

El propio reglamento establece en su artículo 37 la obligación de designar a este DPD en función del tratamiento o actividad que desempeñe. En consecuencia:

«Art. 37 RGPD: Designación del delegado de protección de datos

1. El RT y el ET designarán un DPD siempre que:

a) el tratamiento lo lleve a cabo una AUTORIDAD U ORGANISMO PÚBLICO, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del RT o ET consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una OBSERVACIÓN HABITUAL Y SISTEMÁTICA de interesados a GRAN ESCALA, o

c) las actividades principales del RT o ET consistan en el tratamiento a GRAN ESCALA de categorías especiales de DP (art. 9 RGPD: origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física), y de datos relativos a condenas e infracciones penales (art. 10 RGPD: condenas e infracciones penales o medidas de seguridad conexas)».

De la misma manera, la normativa nacional establece en su artículo 34 una suerte de desarrollo de dicha transposición de normativa europea, especificando que a parte de los supuestos establecidos en el Reglamento, debe designarse un DPD ya no en función de la actividad que desempeñe la entidad, sino en función del tipo de entidad en si:

«Art. 34 LOPDgdd: Designación de un delegado de protección de datos.

1. Los RT y ET deberán designar un DPD en los supuestos previstos en el art. 37.1 RGPD y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a GRAN ESCALA.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a GRAN ESCALA perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito (art. 1 LOSSEC: bancos, cajas de ahorros, cooperativas de crédito, el Instituto de Crédito Oficial).

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego (casinos online, juego online, loterías online).

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad».

Por último, la reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, comúnmente conocida como Ley de Canal de Denuncias, ha establecido que las empresas que estén obligadas a disponer de esta herramienta confidencial para comunicar actividades y conductas potencialmente irregulares dentro de una empresa, también están sujetas al deber de designar este DPD. A saber, las empresas con más de 50 trabajadores deben tener un DPD porque están obligadas a tener un canal de denuncias (o sistema interno de información), de acuerdo a la Directiva Whistleblowing (art. 8.3) y la Ley 2/2023, de 20 de febrero.

Si has llegado hasta este punto puede que te haya suscitado dudas el hecho de que tanto la LOPDgdd, pero sobre todo el RGPD habla sobre ACTIVIDADES PRINCIPALES, sobre OBSERVACIÓN HABITUAL Y SISTEMÁTICA, o sobre la GRAN ESCALA de perfiles, de tratamiento de datos, etc.,  pero ¿qué entendemos por estos conceptos jurídicos indeterminados? o lo que aun es más importante, ¿qué entiende la AEPD que significan, y qué relevancia práctica tiene? 

La verdad es que la propia AEPD tampoco tiene un criterio claro al respecto, y lo único que nos ofrece son una serie de parámetros para que podamos, en observancia a los mismos, determinar si nuestro sector o actividad particular se puede encuadrar dentro de los mismos, y en consecuencia, si debemos o no contratar los servicios de un DPD. Nos tomamos la cortesía de reproducir fielmente lo que la AEPD entiende al respecto de estos términos, para no perder un solo matiz a la hora de transcribir sus directrices.

ACTIVIDADES PRINCIPALES

Las «actividades principales» pueden considerarse como las operaciones clave necesarias para lograr los objetivos del RT o ET. No obstante, éstas no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del RT o ET. 

Ejemplo 1: El Grupo de Trabajo del art. 29 dictamina que la actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto, el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales deben, en consecuencia, designar un DPD.

Ejemplo 2: Una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal de la empresa de seguridad privada, que a su vez está ligada de manera indisociable al tratamiento de datos personales. Por tanto, esta empresa debe también designar un DPD.

Por otra parte, todas las organizaciones llevan a cabo determinadas actividades, por ejemplo, pagar a sus empleados o realizar actividades ordinarias de apoyo. Dichas actividades son ejemplo de funciones de apoyo necesarias para la actividad principal o el negocio principal de la organización. Aunque estas actividades son necesarias o esenciales, normalmente se consideran funciones auxiliares y no la actividad principal.

OBSERVACIÓN HABITUAL Y SISTEMÁTICA

La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de «observación del comportamiento de los interesados» se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental.

No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados. El Grupo de Trabajo del art. 29 interpreta «habitual» con uno o más de los siguientes significados:

• continuado o que se produce a intervalos concretos durante un periodo concreto;

• recurrente o repetido en momentos prefijados;

• que tiene lugar de manera constante o periódica. Respecto a la interpretación «sistemático»;

• que se produce de acuerdo con un sistema;

• preestablecido, organizado o metódico;

• que tiene lugar como parte de un plan general de recogida de datos;

• llevado a cabo como parte de una estrategia.

Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son: 

• operar una red de telecomunicaciones; 

• prestar servicios de telecomunicaciones; 

• redireccionar correos electrónicos; 

• actividades de mercadotecnia basadas en datos; 

• elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); 

• llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; 

• programas de fidelidad; 

• publicidad comportamental; 

• seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles; 

• televisión de circuito cerrado; 

• dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.

GRAN ESCALA

El RGPD tampoco define qué se entiende por tratamiento a gran escala, aunque el considerando 91 ofrece alguna orientación. De hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo (según el Grupo de Trabajo del artículo 29), se desarrolle un método estándar para identificar en términos más específicos o cuantitativos dicho concepto. En cualquier caso, el citado Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

• el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

• el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;

• la duración, o permanencia, de la actividad de tratamiento de datos;

• el alcance geográfico de la actividad de tratamiento.

Como ejemplos de tratamiento a gran escala cabe citar:

• el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;

• el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);

• el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;

• el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;

• el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;

• el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

Como casos que NO constituyen tratamiento a gran escala cabe señalar:

• el tratamiento de datos de pacientes por parte de un solo médico;

• el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

Ahora ya sabes si tu o tu empresa necesitáis de un DPD, sin embargo, tal y como ha establecido el Reglamento, el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, por lo que no toda persona vale para ser DPD. Si buscas un abogado experto en protección de datos en España, y habilitado para ser DPD, desde No Hay Derecho te recomendamos que contactes con nosotros, donde te atenderá un abogado especialista en Protección de Datos, y te ayudará a gestionar todos los tramites necesarios para cumplir con la normativa.

Gracias por leernos, y si te ha gustado, compártelo en tus redes sociales para que así podamos llegar a más gente, y déjanos un comentario al final de este artículo.