Supuestos de obligación de nombramiento del delegado de protección de datos (DPD) en el RGPD y en la LOPDGDD

Atendidos los requisitos para la designación de un DPD, el artículo 37 del RGPD recoge la obligación de esa designación por el responsable o encargado del tratamiento de manera obligatoria cuando:

• El tratamiento lo lleve a cabo una autoridad u organismo público, a excepción de los tribunales que actúen en ejercicio de su función judicial. En el concepto de autoridad u organismo público se incluirán, o así lo hace el Grupo de Trabajo del artículo 29, las autoridades nacionales, regionales y locales.
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 del RGPD (que revelen origen étnico o racial, opiniones públicas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, sobre la salud, vida sexual u orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. 

Como se puede apreciar, al margen de los tratamientos que realicen los organismos públicos, los dos condicionantes que deben concurrir para que sea obligatorio el nombramiento es que las operaciones proyecten un volumen masivo de datos o de interesados en su observancia. Evidentemente, se trata de un concepto muy amplio que debiera ser acotado por la legislación.

Destacar el inciso de tal precepto, al requerir una observación habitual y sistemática de interesados a gran escala. Cabe traer la interpretación que el Grupo de Trabajo del artículo 29 hace al respecto, siendo «habitual» algo continuado, recurrente, constante o periódico, y «sistemático» aquello que se produce de acuerdo con un sistema, que está preestablecido u organizado, que tiene lugar como parte de un plan general de recogida de datos o que se lleva a cabo como parte de una estrategia.

Asimismo, habla el RGPD de tratamiento a gran escala. Respecto a esta apreciación, el considerando (91) del RGPD suscribe que se refiere al tratamiento de una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que pueden afectar a un gran número de interesados y entrañar probablemente un alto riesgo para los derechos y libertades de los interesados. Así mismo, el referenciado Grupo de Trabajo determina que para considerar un tratamiento a gran escala debe tenerse en cuenta:

• El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
• El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
• La duración, o permanencia, de la actividad de tratamiento de datos.
• El alcance geográfico de la actividad de tratamiento.

Fuera de estos casos, el artículo 34, apartado 2, de la LOPDGDD dispone que el responsable o encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados pueden designar un DPD o lo designarán si el derecho de la Unión Europea o su norma nacional así lo exige. 

CUESTIÓN

El artículo 37, apartado 1 b) y c), del RGPD habla de un tipo de actividades principales del responsable o encargado, pero ¿a qué se refiere con actividades principales?

El Grupo de Trabajo del artículo 29 razona que las actividades principales pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento, pero no deben interpretarse como excluyentes cuando el tratamiento de los datos sea parte indisociable de la actividad del responsable o encargado del tratamiento. 

Añade ejemplos muy ilustrativos: 

- La actividad principal de un hospital es prestar atención sanitaria, pero esta atención sanitaria requiere, para su buena ejecución, tratar datos relativos a la salud y con ello acceder a las historias clínicas de los pacientes. 

- Una empresa de seguridad lleva la vigilancia de centros comerciales privados o de espacios públicos. Tal actividad conlleva, inevitablemente, el tratamiento de datos personales. 

Desarrollando la norma europea y concretando lo recogido en el artículo 37 del RGPD, la LOPDGDD contempla en su artículo 34 que los responsables y encargados del tratamiento también deben designar un DPD cuando se trate de las siguientes entidades:

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas que traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. 
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito. En tal norma, se hace referencia a las entidades de crédito y estas serán los bancos, cajas de ahorros, cooperativos de crédito, Instituto de Crédito Oficial.  
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras. 
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. 
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.

Fuera de estos supuestos, la designación del DPD no dejará de ser correcta, simplemente obedecerá a otros criterios como son la proactividad e incremento del cumplimiento normativo por parte de la empresa y estará amparado por el artículo 37, apartado 2, de la LOPDGDD. 

A TENER EN CUENTA. El incumplimiento de la obligación de designar un DPD, dentro de los supuestos de este artículo 34 de la LOPDGDD y 37 del RGPD, es condenado como infracción grave a tenor de lo dispuesto en el artículo 73, letra v) de la LOPDGDD.

CUESTIONES

1. Un despacho de abogados ¿está obligado a nombrar un DPD?

Para responder a esta cuestión hay que tener en cuenta más de un elemento. En efecto, pudiera enmarcarse este tipo de entidades en el tercer condicionante indicado en el RGPD, por el tratamiento de categorías especiales de datos y datos relativos a condenas e infracciones penales. Sin embargo, se requiere que dicho tratamiento se realice a gran escala. Por esta razón, lo que se debe valorar es el tamaño de la entidad, el alcance territorial de sus tratamientos y el volumen de interesados de los que manejan datos.

Por esta razón, atendiendo a la estructura de la empresa, podemos afirmar que, si se trata de un despacho común, unipersonal o con pocos socios y de pequeño volumen, no necesitará nombrar DPD. De todos modos, toda vez que el colegio de abogados haga su emplazamiento deberá nombrarlo, sería interesante hacer expansivo sus servicios al despacho.

Consultar Directrices sobre los delegados de protección de datos del Grupo de Trabajo sobre protección de datos del artículo 29. 

2. Una consulta médica ¿está obligada a nombrar un DPD?

Al igual que ocurre en el ámbito del ejercicio de la abogacía, es cierto que los datos que se manejan en una consulta médica revisten la categoría de especial sensibilidad y podrían enmarcarse dentro de un ámbito especialmente protegido. Sin embargo, si la consulta médica está compuesta por un solo profesional, no será obligatorio su nombramiento.

En caso de configurarse en torno a una clínica con pluralidad de profesionales, se debe valorar si las operaciones de tratamiento que realizan entrañan alto riesgo para los derechos y libertades de los interesados. En caso afirmativo, deberá designarse un DPD.

Consultar Directrices sobre los delegados de protección de datos del Grupo de Trabajo sobre protección de datos del artículo 29.