Descifrando el DPO o Delegado de Protección de Datos Descifrando el DPO o Delegado de Protección de Datos
Por obra y gracia del Reglamento General de Protección de Datos («RGPD»), a partir del 25 de mayo de 2018, determinadas entidades estarán obligadas... Descifrando el DPO o Delegado de Protección de Datos

Por obra y gracia del Reglamento General de Protección de Datos («RGPD»), a partir del 25 de mayo de 2018, determinadas entidades estarán obligadas a tener un Delegado de Protección de Datos (o «DPO» por las siglas en inglés del «Data Protection Officer»). Sin embargo, el literal de esta obligación, transcrito en el artículo 37 del «RGPD», no resulta especialmente claro a la hora de concretar cuándo es obligatoria esta figura.

En concreto, dicho artículo establece que:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Consciente de los interrogantes que plantea la redacción de este artículo, el Grupo de Trabajo del Artículo 29 («GT29») ha adoptado una guía interpretativa de la figura del «DPO» que intenta aclarar todas estas cuestiones dudosas:

1. Autoridad u organismo público

En principio no debería haber muchas dudas al respecto, pero el «GT29» introduce la posibilidad de que determinadas empresas de derecho privado puedan ser consideradas equivalentes a autoridades u organismos públicos bajo su derecho nacional (p.e. transporte público, suministro de agua o energía, carreteras, medios de comunicación públicos, o colegios profesionales).

El «GT29» considera que en algunos de estos casos, los ciudadanos se encuentran en una situación muy parecida a cuando sus datos son tratados por una administración pública, de forma que tienen muy poca o nula capacidad de elección sobre el tratamiento de sus datos por las normas que regulan esos sectores.

Sin perjuicio de un mejor criterio por parte de la «AEPD», en España deberíamos considerar dentro de este concepto a las entidades incluidas dentro del ámbito de aplicación subjetivo (artículo 2) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

2. Actividad Principal

Llegamos a una de las claves que podrían limitar drásticamente la exigencia del «DPO» en la mayoría de las empresas españolas. Sin embargo, la guía del «GT29» no llega a resolver de forma clara esta incógnita.

En concreto, el «GT29» trata de diferenciar entre actividades principales y actividades auxiliares a través de 3 ejemplos demasiado evidentes como para extrapolar conclusiones generales:

a) La actividad principal de un hospital implica tratar datos de salud.

b) La actividad principal de una empresa de seguridad privada implica vigilar cierta cantidad de establecimientos, centros comerciales, etc.

c) Sin embargo, pagar a los empleados o tener soporte de «IT» en la empresa, son actividades auxiliares para las empresas.

Estos ejemplos son demasiado básicos y evidentes como para resolver situaciones más oscuras o inciertas, como por ejemplo, empresas cuya actividad principal es vender «online», pero que hacen un seguimiento exhaustivo de lo que hacen sus usuarios en la web a través de «cookies» y «píxeles» de «tracking». ¿Sería el «tracking» una actividad principal o auxiliar? En nuestra opinión, debería ser considerado como una actividad auxiliar, ya que sirve para mejorar o apoyar la actividad principal, pero no es un tratamiento intrínseco.

Pero. por otro lado, ¿el «tracking» de usuarios a través de «cookies» y «píxeles» constituiría una observación habitual y sistemática de interesados?

El «GT29» aborda esta cuestión más adelante en el mismo documento, reconociendo que, aunque los términos «observación habitual y sistemática», no están definidos en el «RGPD», claramente incluyen el «tracking» y el perfilado en Internet (especialmente si es con fines publicitarios), basándose en el Considerando 24 del «RGPD». Además, añade otros tratamientos que considera que encajan dentro de este concepto, tales como los «wearables» que monitorizan la salud, «tracking» geográfico a través de dispositivos móviles, o el «scoring» para el acceso a productos financieros.

Podría ser discutible, pero al menos en esta ocasión el «GT29» nos da una respuesta clara y concisa a una de las dudas que podrían surgir tras la lectura del «RGPD».

3. Gran Escala

Otro de los «puntos negros» del «RGPD» es la reiteración de este término hasta 4 veces en el cuerpo normativo del «RGPD» sin definirlo en ningún momento. El único criterio interpretativo que ofrece el «RGPD» lo encontramos en el Considerando 91, en un ejemplo que no parece especialmente acertado: «El tratamiento de datos personales no debe considerarse a gran escala si lo realiza […] un solo médico». Es decir, que si un único médico trata datos de miles de pacientes no sería tratamiento a gran escala; pero ¿y si dos médicos tratan unas cuantas decenas de pacientes?

Este es el dilema que irremediablemente plantea el Considerando 91. Pero veamos qué opina el «GT29».

Para el «GT29», dado que el «RGPD» no define qué debe considerarse como «Gran Escala», no resulta posible dar un dato preciso que sea aplicable a todas las situaciones. Pero propone que, con el tiempo, se vaya desarrollando un estándar que permita objetivizar cuándo se debe considerar «Gran Escala» a través de los siguientes factores:

a) El número de afectados (sea en términos absolutos o relativos).

b) El volumen de datos de cada afectado que se tratan.

c) La duración del tratamiento.

d) El alcance geográfico del tratamiento.

Recordemos que el «RGPD» concede un plazo de 2 años a contar desde el 25 de mayo de 2016. Han pasado 7 meses, y el «GT29» todavía se reconoce incapaz de interpretar cuestiones como esta, que han estado cocinándose en la Comisión Europea durante más de 4 años.

No obstante, el «GT29» ofrece varios ejemplos que considera tratamientos de datos a «Gran Escala», aunque no por ello estarán sometidos a la obligación de designar un «DPO», ya que «Gran Escala» es sólo uno de los parámetros que componen las condiciones que exigen tal designación:

a) Tratamiento de datos de pacientes por parte de un hospital (¿incluso aunque sea un hospital con pocos pacientes o con una mínima «cuota de mercado»?).

b) Tratamiento de datos de viaje de transporte público.

c) Tratamiento en tiempo real de datos de geolocalización de clientes de una cadena internacional de comida rápida para fines estadísticos por parte de un proveedor especializado en estos análisis.

d) Tratamiento de datos de clientes por un banco o compañía de seguros (¿también aunque tengan una cuota mínima de mercado?)

e) Tratamiento de datos para publicidad basada en el comportamiento de los usuarios de un motor de búsqueda.

f) Tratamiento de datos por parte de un proveedor de servicios de acceso a internet o a la línea telefónica.

Resulta desesperanzador que el «GT29» se reconozca incapaz de ofrecer una respuesta clara y concisa, y que la mayoría de los ejemplos que propone resulten muy discutibles.

4. DPO de Responsables y de Encargados

Una de las cuestiones que sí aclara el «GT29» (aunque no era una situación particularmente dudosa), es si un Encargado debería nombrar a un «DPO» cuando el Responsable esté obligado, o viceversa.

Por poner unos ejemplos:

a) La empresa que presta servicios de mensajería a una gran cadena hospitalaria, ¿debería tener un «DPO»?

b) Y, en el caso inverso, si una empresa contrata la vigilancia de la salud de sus empleados con un servicio de prevención ajeno («SPA»), el «SPA» probablemente esté obligado a designar un «DPO» porque es posible que haga tratamiento de datos de salud a gran escala. ¿La empresa que contrata los servicios del «SPA», debe designar un «DPO»? (llama la atención que el «GT29» ponga precisamente este ejemplo de «encargo de tratamiento», cuando la «AEPD» considera que los «SPA» no son Encargados, sino Responsables, ¿Debería empezar la «AEPD» a validar sus criterios más discutibles a través del mecanismo de coherencia?).

En ambos casos, la respuesta del «GT29» es que no. Por lo demás, este documento del «GT29» se limita a reiterar las cuestiones que ya estaban claras para la figura del «DPO» en el propio «RGPD».

En definitiva, esta guía del «GT29»  deja un sabor más agrio que dulce y nos empieza a generar preocupación sobre el vacío en cuanto a los criterios interpretativos necesarios para poder adaptarnos al «RGPD« antes del 25 de mayo de 2018. Cada día que pasa sin que las propias autoridades de protección de datos tengan claros estos criterios, es un día que se está «hurtando» a las empresas para adaptarse a esta norma que amenaza con multas millonarias en caso de incumplimiento.

Fuente: Comunicae.

David Redactor Jefe

Apasionado de la informática, y más apasionado de la literatura, David es un informático todo-terreno al que le gusta explorar nuevas áreas de la ciencia de la tecnología de la información. En ParcelaDigital es el Redactor Jefe.

Artículos antiguos…