Con la finalidad de reforzar la protección de las personas físicas en relación con el tratamiento de sus datos personales, tanto el Reglamento (UE) 2016/679 General de protección de datos (RGPD), aplicable a partir del 25 de mayo de 2018, como el Proyecto de Ley Orgánica de Protección de Datos en su última versión publicada en el BOCG de 24 de noviembre de 2017, recogen como principal novedad la evolución de un modelo basado hasta ahora en el control del cumplimiento, a otro que descansa en un modelo proactivo y preventivo, derivándose así nuevas obligaciones para los operadores económicos y para las autoridades públicas.

Así, dentro de estas nuevas medidas de responsabilidad proactiva (“accountability”) de las empresas o entidades que tratan datos personales, en este artículo analizaremos en qué supuestos hay obligación legal de nombrar un Delegado de Protección de Datos (DPD) , dejando para más adelante el análisis de otros desafíos como la actualización de contratos, páginas web, campañas de ventas o de publicidad cuya implementación deberá realizarse antes del próximo 25 de mayo.

Cuanto más complejas o sensibles sean las operaciones de tratamiento de datos personales, más recursos deberán destinarse al DPD.

El RGPD establece en su artículo 37, tres supuestos en los que existe obligación de designar un DPD:

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
  2. Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento de datos que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Cuando las actividades principales del responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

El primer supuesto se refiere claramente al sector público, esto es, a la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y el sector público institucional. En cuanto al segundo y tercer supuesto, conviene precisar algunos de los términos que emplea el RGPD (resaltados en negrita en la enumeración anterior) y que el Grupo de Trabajo del Artículo 29 (órgano consultivo de la UE en materia de protección de datos) nos aclara.

Así debemos entender por “actividades principales” aquellas operaciones clave necesarias para lograr los objetivos de la empresa, sin excluir el tratamiento de datos cuando éste sea una parte indisociable de dichas operaciones clave. Por ejemplo, en una empresa de seguridad privada la vigilancia es la actividad principal de la empresa pero el tratamiento de datos personales está ligado de manera indisociable a su actividad.

Respecto al término “observación habitual y sistemática de interesados”, debe considerarse “habitual”, toda actividad continuada, repetitiva o que tiene lugar de manera constante o periódica, y “sistemática” cuando esté preestablecida, organizada o metódica o se lleve a cabo como parte de una estrategia de la empresa.

En cuanto a qué se refiere el RGPD al utilizar la expresión “a gran escala”, se recomienda tener en cuenta factores como el número de interesados afectados, el volumen de datos o variedad de elementos, la duración y permanencia o el alcance geográfico de la actividad.

Frente a estas indicaciones genéricas del RGPD, el Proyecto de Ley Orgánica de Protección de Datos en su actual redacción concreta mucho más a través de un amplio listado los supuestos en los que el responsable o el encargado del tratamiento de datos están obligados a nombrar un Delegado de Protección de Datos.

  1. Colegios profesionales y sus consejos generales.
  2. Centros docentes regulados por la Ley Orgánica de Educación y Universidades públicas y privadas.
  3. Entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de usuarios.
  5. Entidades de crédito (Bancos, Cajas de Ahorros, Cooperativas de crédito y el ICO)
  6. Establecimientos financieros de crédito.
  7. Entidades aseguradoras y reaseguradoras.
  8. Empresas de servicios de inversión (Sociedades de valores, Agencias de valores, Sociedades gestoras de carteras y empresas de asesoramiento financiero)
  9. Distribuidores y comercializadores de energía eléctrica y gas natural.
  10. Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o para la gestión y prevención del fraude.
  11. Entidades de publicidad y prospección comercial, investigación comercial y de mercados.
  12. Centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes.
  13. Entidades que emitan informes comerciales que puedan referirse a personas físicas.
  14. Operadores que desarrollen actividades de juego online
  15. Empresas de seguridad privada y despachos de detectives privados.

En todos estos casos, será obligatoria la designación del DPD, ya sea interno o externo que deberá intervenir en las decisiones a adoptar por la empresa para cumplir con las nuevas obligaciones en  materia de protección de datos.

El Delegado de Protección de Datos deberá ser accesible, con conocimientos y habilidades para poder comunicarse eficazmente con los interesados y cooperar en todo momento con las autoridades de control.

Nuestra recomendación es que las empresas se aseguren de que contratan a un profesional con conocimientos especializados en Derecho (o con apoyo externo, en otro caso), que conozca bien el sector empresarial y que además tenga práctica en materia de protección de datos. De otra forma será difícil hacer frente con éxito a los retos de la nueva normativa.

Alfonso Touza Galiano, Abogado área regulación LEGAL FIELD Consultores y Abogados

 

Share This