Obligación de designar un DPO


     05/07/2016

 


03/07/2016 | FS CONSULTORES SL | NEWS - GDPR - Delegado de protección de datos
 

El Delegado de Protección de Datos (DPO)


El DPO es la persona encargada de informar y asesorar al Responsable (RT) o Encargado (ET) del tratamiento y al personal autorizado para el tratamiento, de las obligaciones que les afectan en virtud del Reglamento (GDPR) y de otras disposiciones de protección de datos.
 

¿Quién está obligado a designar un DPO?


El RT y ET tendrán la obligación de designar un DPO cuando su actividad principal contemple tratamientos a gran escala de:
 
  • Observación habitual y sistemática de interesados.
  • Categorías especiales de datos.
  • Datos relativos a condenas e infracciones penales.

También existe la obligación de designar un DPO cuando el tratamiento lo realice un Organismo público.
Un grupo de empresas podrá designar un único DPO para todas las empresas del grupo siempre que sea accesible desde cada uno de los establecimientos del grupo. Un Organismo público podrá designar un único DPO para varias entidades públicas siempre que se tenga en cuenta su estructura organizativa y su tamaño.
 

Observaciones

Vista la obligación de designar DPO que establece el GDPR, la figura del DPO solo será necesaria en las empresas que realicen tratamientos de datos personales a gran escala en su actividad principal. La mayoría de empresas no realizan este tipo de tratamiento, por lo que podrán prescindir del DPO. Para asegurarnos ello, vamos a ver el significado de cada concepto:
 
  • Actividad principal del RT o ET
A lo que se dedica la empresa, su actividad económica. Por ejemplo, en una fábrica de calcetines la actividad principal es su fabricación y venta; en una empresa de trabajo temporal (ETT) su actividad principal es elaborar perfiles de personas para proporcionarles un empleo. Es muy importante discernir si la actividad principal se basa, o no, en el tratamiento de datos personales.
  • Tratamientos a gran escala
Operaciones de tratamiento que persiguen tratar una cantidad considerable de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos.
  • Tratamiento habitual y sistemático
Cuando se realiza un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de sus datos.
  • Categorías especiales de datos
Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
  • Condenas e infracciones penales
Datos relativos a condenas e infracciones penales o medidas de seguridad afines, llevadas a cabo bajo la supervisión de autoridades públicas.


Visto esto y excluyendo los organismos públicos, las únicas empresas obligadas a designar un DPO son las que su actividad principal se basa en el tratamiento de datos personales a gran escala. Vamos a poner unos ejemplos:
 
  • Observación habitual y sistemática de interesadosBanca, Aseguradoras, Empresas de vigilancia que traten datos directamente como ET, Empresas dedicadas a la elaboración de perfiles (ETT, Mercadotecnia directa, Apps, etc.), Medios de comunicación, etc.
  • Categorías especiales de datosPartidos políticos, Iglesias, Sindicatos, Investigación genética o biométrica, Hospitales, Centros médicos, Mutuas, Asistencia social, etc.
  • Datos relativos a condenas e infracciones penalesGabinetes jurídicos, Gestión de morosos, etc.
 

Qué dice el GDPR


El considerendo 91 del GDPR define las operaciones de tratamiento a gran escala:
Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus 4.5.2016 ES Diario Oficial de la Unión Europea L 119/17 derechos. La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

El considerando 97 del GDPR define las actividades principales del RT y ET:
 
Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales L 119/18 ES Diario Oficial de la Unión Europea 4.5.2016 como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
 
El artículo 37, apartado 1 del GDPR determina la obligación de designar un DPO:
 
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datospersonales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.


Josep Aragonés Salvat