Por: Camilo Espinal Arango
El RGPD, en su artículo 37.1, establece los supuestos en los que el responsable y encargado del tratamiento deben nombrar un Delegado de Protección de Datos (DPD/DPO), así:
| “1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”[1]. |
¿A qué hacen referencia las expresiones actividades principales, observación habitual y sistemática y tratamiento a gran escala?
El RGPD en si mismo no consagra una definición para estos conceptos, sin embargo, la Agencia Española de Protección de Datos (AEPD), interpretando los considerandos 24 y 29 del RGPD, así como los conceptos del Equipo de Trabajo del Artículo 29, ha precisado esta materia.
1. Actividades principales.
Son aquellas actividades necesarias para lograr los objetivos del responsable y el encargado; incluyendo aquellos escenarios en los que el tratamiento de datos es una parte indisociable de las referidas actividades necesarias.
En este sentido, se debe preguntar ¿Sin tratar datos personales es posible llevar acabo el objeto principal la actividad empresarial? Si la respuesta es no, entonces la actividad se enmarca en lo establecido en este supuesto.
Un ejemplo de lo anterior se encuentra (i) en las empresas que se dedican al envío de comunicaciones masivas a usuarios o (ii) las empresas de videovigilancia, que, si bien su actividad principal es brindar vigilancia y seguridad, requieren necesariamente tratar los datos biométricos de las personas (grabaciones) para prestar sus servicios.
No se debe confundir la actividad principal con las actividades auxiliares que la soportan, por ejemplo: el pago de nóminas, el control de jornada laboral, el registro y control de proveedores, son actividades de la empresa que podrían implicar un tratamiento de datos personales pero que no son en si mismas la actividad principal de la empresa.
2. Observación habitual y sistemática.
La AEPD acoge una definición de “observación” como el seguimiento de datos y/o la creación de perfiles con los datos tratados. Así mismo, la expresión “habitual” la desvincula de un elemento temporal y la interpreta como un tratamiento que se da de forma preestablecida, metódica, planificada.
Un ejemplo de este tipo de actividades se encuentra en la elaboración de perfiles para la evaluación de riesgos en materia de PBC/FT y en las actividades de marketing basadas en datos de comportamiento de usuarios.
3. Gran escala.
El RGPD no define una cifra exacta a partir de la cual se puede indicar que un tratamiento se realiza a gran escala, sin embargo, la AEPD, atendiendo a las interpretaciones del Grupo de Trabajo del Artículo 29, establece una serie de factores a observar para poder determinar la escala en que se realiza el tratamiento:
- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
- La duración, o permanencia, de la actividad de tratamiento de datos.
- El alcance geográfico de la actividad de tratamiento.
Como ejemplo de tratamiento de datos personales a gran escala podríamos establecer el tratamiento de datos de clientes (persona natural) en el desarrollo normal de la actividad de una compañía de seguros o de una entidad financiera, las cuales requieren el tratamiento de los datos de todos y cada uno de sus clientes para el perfeccionamiento de contratos y la ejecución de sus servicios.