Supuestos de obligación de nombramiento del Delegado de Protección de Datos (DPD) en el RGPD y en la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.

El artículo 37 apartado 1, del RGPD requiere la designación de un DPD en tres casos específicos:

- cuando el tratamiento lo lleven a cabo autoridades u organismos público -> tanto autoridades nacionales como regionales o locales, así como en organismos regidos por el derecho público (por ej. transporte público, suministro de energía, infraestructuras, etc). Su nombramiento obedece a la necesidad de protección adicional que puede requerir una persona que, habitualmente, no tendrá un control sobre si sus datos se tratan y que manera, o bien tienen un escaso poder de decisión.

- cuando los responsables o encargados tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala -> por ejemplo, operadores de una red de telecomunicaciones, aplicaciones móviles con seguimiento de ubicación, publicidad comportamental, dispositivos de medición y seguimiento de estado físico y salud, domótica, coches inteligentes conectados, etc.

- cuando los Responsables o encargados tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles -> categorías especiales de datos personales o datos relativos a condenas e infracciones penales, pues, aunque el artículo indica "y" , no existe ningun motivo normativo que obligue a aplicar ambos criterios simultaneamente.

Con respecto al concepto de "actividades principales" , tal y como indica el Grupo de Trabajo del artículo 29 (GT29), "el considerando 97 especifica que las actividades principales de un responsable están relacionadas con «sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares». Las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, las «actividades principales» no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o en cargado del tratamiento. Por ejemplo, la actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales debe, en consencuencia, designar un DPD".

El RGPD, por su parte, no define qué se entiende por tratamiento a gran escala, aunque el considerando 91 ofrece alguna orientación: "las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo». Por otra parte, el considerando dispone específicamente que «el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado». Es importante tener en cuenta que, aunque el considerando proporciona ejemplos, debe tenerse en cuenta que este considerando se refiere a las evaluaciones de impacto, por lo cual algunos elementos pueden ser específicos de dicho contexto y no aplicarse necesariamente de la misma manera a la designación de los DPD. En cualquier caso, el GT29 recomienda que se tengan en cuenta, en particular, los siguientes factores:

  • el número de interesados afectados (como cifra o como proporción de la población):
  • el volumen de datos o la variedad de elementos de datos objeto de tratamiento;
  • la duración, o permanencia, de la actividad de tratamiento;
  • el alcance geográfico.

Se excepcionan de la obligación de nombramiento los tribunales que actúen en el ejercicio de la función judicial. Igualmente se excepciona el tratamiento de datos de pacientes por parte de un solo médico y el tratamiento de datos relativos a condenas e infracciones penales por parte de un abogado, al no considerarse que dichos tratamiento constituyan tratamientos a gran escala.

Con respecto a la noción de "observación habitual y sistemática  de interesados", no está definida en el RGPD, si bien el GT29 interpreta "habitual" con uno o más de los siguientes significados:

  • continuado o que se produce a intervalos concretos durante un periodo concreto;
  • recurrente o repetido en momentos prefijados;
  • que tiene lugar de manera constante o periódica.
Igualamente, interpreta "sistemático" con uno o más de los siguientes significados:
  • que se produce de acuerdo con un sistema;
  • preestablecido, organizado o metódico;
  • que tiene lugar como parte de un plan general de recogida de datos;
  • llevado a cabo como parte de una estrategia.
 
Cuando una organización designe un DPD de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del RGPD, como si el nombramiento hubiera sido obligatorio.
 
Por lo que respecta a la LOPDGDD, en su artículo 34 se establece la designación obligatoria de DPD en los siguientes supuestos (además de los contemplados en el RGPD), sin importar el tamaño, número de empleados o volumen de datos tratados:
  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes de todos los niveles, desde escuelas infantiles a Universidades públicas y privadas.
  3. Las empresas de telecomunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala, y otros prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de usuarios.
  4. Las entidades bancarias, cajas de ahorro, cooperativas de crédito y El Instituto de Crédito Oficial.
  5. Los establecimientos financieros de crédito.
  6. Las entidades aseguradoras y reaseguradoras.
  7. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  8. Los distribuidores y comercializadores de energía eléctrica y de gas natural.
  9. Las entidades responsables de ficheros de morosos
  10. Los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo:
    - Entidades de crédito, compañías de seguros y empresas de servicios de inversión
    - Notarios y registradores
    - Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia
    - Abogados, procuradores u otros profesionales cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines
    - Promotores inmobiliarios, APIs y agencias inmobiliarias.
    - Auditores de cuentas, contables externos y asesores fiscales
    - Casinos de juego.
    - Joyeros, galerías de arte y anticuarios
    - Loterías y otros juegos de azar
    - Fundaciones y asociaciones
    - etc
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que emitan informes comerciales de personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego (juego online).
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad.
Dicho artículo ha intentando solventar la indeterminación del concepto "a gran escala", con un amplio listado que, además, remite a diversas normas sectoriales que amplían incluso más el número de supuestos, tal y como hemos visto.
 
 
 

No hay versiones para este comentario

Tratamiento de datos personales
Delegado de protección
Datos personales
Encargado del tratamiento
Actividades de tratamiento de datos
Datos personales relativos a condenas e infracciones penales
Energía
Transporte público
Datos sensibles
Categorías especiales de datos
Datos sobre la salud
Empresas de servicios de inversión
Centro docente
Colegios profesionales
Escuela infantil
Cajas de ahorros
Empresa de telecomunicación
Cooperativas de crédito
Asegurador
Energía eléctrica
Mercado de Valores
Blanqueo de capitales
Entidades de crédito
Operaciones financieras
Compañía aseguradora
Terrorismo
Fundaciones y asociaciones
Auditores de cuentas
Elaboración de perfiles
Federaciones deportivas
Menor de edad
Empresa de seguridad
Persona física
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Delegado de Protección de Datos (DPO)

    Orden: Administrativo Fecha última revisión: 07/02/2019

    La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la...

  • Datos relativos a condenas e infracciones penales en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Los datos relativos a infracciones y condenas penales, no se encuentran expresamente incluido en la relación de categorías especiales de datos que podemos consultar en el tema correspondiente. Ahora bien, como veremos, el RGPD establece similares c...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Evaluación de impacto relativa a la protección de datos (EIPD)

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados