Navigation

Empresas que deben tener un Delegado de Protección de Datos

By on septiembre 6, 2017 in Blog

Empresas que deben tener un Delegado de Protección de Datos

Organizaciones que deben tener un Delegado de Protección de Datos

Siguiendo con esta serie de entradas en nuestro Blog referentes a la novedosa figura del Delegado de Protección de datos, sin ánimo de aburrir a los queridos lectores, vamos a pasar a analizar ¿que organizaciones deben nombrar un DPD?.

¿Comó puedo averiguar si mi organización es una de las empresas que deben tener un Delegado de Protección de Datos?

El artículo 37 del Reglamento establece tres supuestos de designación obligatoria:

  1. a) Cuando el tratamiento lo lleva a cabo una autoridad u organismo público.
  2. b) Cuando las actividades principales del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que requieren un seguimiento regular y sistemático de los interesados a gran escala; o
  3. c) Cuando las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de secciones especiales de datos o datos personales relacionados con condenas y delitos penales.

En la redacción de este artículo se desprenden muchos conceptos que requieren un análisis más concreto, todos ellos los hemos destacado para ahora proceder a acometer el mismo.

1.¿Qué se entiende por “Autoridad u Organismos públicos”?

Para esclarecer esta definición debemos esperar a que la legislación de nuestro país lo determine, pero lo que si parece claro es que incluirán tanto administraciones nacionales como autonómicas y locales; aunque también puede incluirse aquí otras entidades de Derecho Público como pueden ser: servicios de transporte público, suministro de agua y energía, infraestructura viaria, radiodifusión pública, vivienda pública, organismos disciplinarios de profesiones reguladas, entre otros.

En este sentido habrá organizaciones que si bien no son públicas sus datos son procesados por entidades u organismos públicos, y por tanto sería recomendable el nombramiento de un DPD por ejemplo: organizaciones privadas que llevan a cabo tareas o ejercen autoridad pública.

2. ¿Qué entendemos por “actividades principales”?

Los apartados 1, b y c el artículo 37 del Reglamento se refieren a ello.

De su redacción pueden considerarse estas como las operaciones claves necesarias para lograr los objetivos del encargado o responsable del tratamiento y en esto hay dos ejemplos claros:

  • La actividad principal de un hospital es la prestación de cuidados sanitarios, ese hospital no podría proporcionar de forma segura y eficaz esos cuidados sanitarios sin procesar los datos de salud de sus pacientes.
  • Una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal de la empresa, la cual está intrínsecamente ligada al tratamiento de datos personales.

3. ¿Cómo definimos el concepto “a gran escala”?

En el Reglamento podemos encontrarnos esta reseña en los apartados b y c del artículo 37, aunque si bien no define este concepto, se puede extraer alguna orientación del considerando 91. Si bien no es posible señalar una cifra exacta, ya sea con referencia a la cantidad de los datos como al número de personas afectadas, se podrá en el futuro determinar un método estándar para especificar en términos objetivos y cuantitativos en base a una serie de factores tales como:

  • Número de interesados involucrados (como cifra concreta o tanto por ciento de población).
  • Volumen de datos o abanico de datos que se procesan.
  • Duración o permanencia de la actividad de tratamiento de datos.
  • Alcance geográfico.

Algunos ejemplos de tratamiento a gran escala pueden ser:

  • Datos de desplazamientos de personas físicas de un sistema de transporte público de una ciudad.
  • Tratamiento de datos de una compañía de seguros o un banco.
  • Proveedores de telefonía o internet.
  • Datos personales para publicidad de un motor de búsqueda en internet.

4. ¿Qué es un seguimiento regular y sistemático?

Esta noción no está definida en el Reglamento, pero el “seguimiento del comportamiento de interesados” se menciona en el considerando 24 y lo limita al entorno on line, es decir, al seguimiento y creación de perfiles en internet.

Pero esta noción no puede solo circunscribirse al entorno de internet por lo tanto:

Se interpreta “regular” con alguno de los siguientes significados:

  • Continuado o que se produce a intervalos concretos durante un periodo concreto.
  • Recurrente o repetido en momentos prefijados.
  • Que se produce de forma constante o periódica.

Y también se interpreta “sistemático” con alguno de los siguientes significados:

  • Que se produce de acuerdo con un sistema.
  • Preestablecido, organizado o metódico.
  • Que tiene lugar como un plan general de recogida de datos.
  • Llevado a cabo como parte de una estrategia.

5. Categorías especiales de datos y datos relativos a condenas y delitos penales

Son tratados en el artículo 9 y 10 indistintamente.

¿Cuál es la figura que debe designar al DPD?

El artículo 37 se aplica tanto a responsables como a encargados y en función de quien cumpla los requisitos sobre designación obligatoria será uno, otro o ambos.

Si tras leer este artículo has desccubierto que tu organiacion es una de esas empresas que deben tener un Delegado de Protección de Datos puedes ponerte en contacto con APT Estudio Legal y te asesoraremos en todo lo necesario.

Si necesitas más información sobre gestión de datos personales, de empresas, política de cookies  puedes informarte de todos los detalles en nuestra página web especializada delegado-protecciondatos.com. Para cualquier otra consulta jurídica puedes acceder a nuestra página de contacto.