Obligació de designar un DPO


Josep Aragonés Salvat     25/05/2016

El Delegat de Protecció de Dades (DPO)


El DPO és la persona encarregada d'informar i assessorar el Responsable (RT) o Encarregat (ET) del tractament i al personal autoritzat per al tractament, de les obligacions que els afecten en virtut del Reglament (GDPR) i d'altres disposicions de protecció de dades.
 

Qui està obligat a designar un DPO?


El RT i ET tindran l'obligació de designar un DPO quan la seva activitat principal contempli tractaments a gran escala de:
 
  • Observació habitual i sistemàtica d'interessats.
  • Categories especials de dades.
  • Dades relatives a condemnes i infraccions penals.

També hi ha l'obligació de designar un DPO quan el tractament el realitzi un Organisme públic.

Un grup d'empreses pot designar un únic DPO per a totes les empreses del grup sempre que sigui accessible des de cada un dels establiments del grup. Un Organisme públic podrà designar un únic DPO per a diverses entitats públiques sempre que es tingui en compte la seva estructura organitzativa i la seva grandària.
 

Observacions


Vista l'obligació de designar DPO que estableix l'GDPR, la figura del DPO només serà necessària en les empreses que realitzin tractaments de dades personals a gran escala en la seva activitat principal. La majoria d'empreses no realitzen aquest tipus de tractament, per la qual cosa podran prescindir del DPO. Per assegurar-nos d'això, anem a veure el significat de cada concepte:

 
  • Activitat principal del RT o ET
Al que es dedica l'empresa, la seva activitat econòmica. Per exemple, en una fàbrica de mitjons l'activitat principal és la seva fabricació i venda; en una empresa de treball temporal (ETT) la seva activitat principal és elaborar perfils de persones per proporcionar-los-hi una ocupació. És molt important discernir si l'activitat principal es basa, o no, en el tractament de dades personals.
 
  • Tractaments a gran escala
Operacions de tractament amb l'objectiu de tractar una quantitat considerable de dades personals que afecten un gran nombre de ciutadans amb la probabilitat d'existir un alt risc per als drets i llibertats dels mateixos.
 
  • Tractament habitual i sistemàtic
Quan es realitza un seguiment freqüent i repetitiu de persones mitjançant un mètode d'organització, classificació o ordenació de les seves dades.
 
  • Categories especials de dades
Dades relatives a l'origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètriques que permetin la identificació unívoca d'una persona, dades relatives a la salut o a la vida i orientació sexuals.
 
  • Condemnes i infraccions penals
Dades relatives a condemnes i infraccions penals o mesures de seguretat afins, dutes a terme sota la supervisió d'autoritats públiques.


Vist això i excloent els Organismes públics, les úniques empreses obligades a designar un DPO són ??les que la seva activitat principal es basa en el tractament de dades personals a gran escala. Posarem uns exemples:
 
  • Observació habitual i sistemàtica d'interessats: Banca, Asseguradores, Empreses de vigilància que tractin dades directament com ET, Empreses dedicades a l'elaboració de perfils (ETT, Màrqueting directe, Apps, etc.), Mitjans de comunicació, etc.
  • Categories especials de dades: Partits polítics, Iglesies, Sindicats, Investigació genètica o biomètrica, Hospitals, Centres sanitaris, Mútues, Assistència social, etc.
  • Dades relatives a condemnes i infraccions penals: Gabinets jurídics, Gestió de morosos, etc.
 

Què diu el GDPR


El considerendo 91 del GDPR defineix les operacions de tractament a gran escala:

L'anterior s'ha d'aplicar, en particular, a les operacions de tractament a gran escala que persegueixen tractar una quantitat considerable de dades personals a nivell regional, nacional o supranacional i que podrien afectar un gran nombre d'interessats i comportin probablement un alt risc, per exemple, per la seva sensibilitat, quan, en funció del nivell de coneixements tècnics assolit, s'hagi utilitzat una nova tecnologia a gran escala ia altres operacions de tractament que comporten un alt risc per als drets i llibertats dels interessats, en particular quan aquestes operacions fa més difícil per als interessats l'exercici de les seves 2016.05.04 ÉS Diari Oficial de la Unió Europea l 119/17 drets. L'avaluació d'impacte relativa a la protecció de dades ha de realitzar-se també en els casos en què es tracten dades personals per adoptar decisions relatives a persones físiques concretes arran d'una avaluació sistemàtica i exhaustiva d'aspectes personals propis de persones físiques, basada en la elaboració de perfils d'aquestes dades o arran del tractament de categories especials de dades personals, dades biomètriques o dades sobre condemnes i infraccions penals o mesures de seguretat connexes. També és necessària una avaluació d'impacte relativa a la protecció de dades per al control de zones d'accés públic a gran escala, en particular quan s'utilitzin dispositius optoelectrònics o per qualsevol altre tipus d'operació quan l'autoritat de control competent consideri que el tractament comporti probablement un alt risc per als drets i llibertats dels interessats, en particular perquè impedeixi als interessats exercir un dret o utilitzar un servei o executar un contracte, o perquè s'efectuï sistemàticament a gran escala. El tractament de dades personals no ha de considerar-se a gran escala si ho fa, respecte de dades personals de pacients o clients, un sol metge, un altre professional de la salut o advocat. En aquests casos, l'avaluació d'impacte de la protecció de dades no ha de ser obligatòria.

El considerant 97 del GDPR defineix les activitats principals del RT i ET:

Al supervisar l'observança interna del present Reglament, el responsable o l'encarregat del tractament ha de comptar amb l'ajuda d'una persona amb coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades si el tractament el realitza una autoritat pública, a exepció dels tribunals o altres autoritats judicials independents en l'exercici de la seva funció judicial, si el tractament el realitza en el sector privat un responsable en que les activitats principals consisteixen en operacions de tractament a gran escala que requereixen un seguiment habitual i sistemàtic dels interessats, o si les activitats principals del responsable o de l'encarregat consisteixen en el tractament a gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals. En el sector privat, les activitats principals d'un responsable estan relacionades amb les seves activitats primàries i no estan relacionades amb el tractament de dades personals L 119/18 ÉS Diari Oficial de la Unió Europea 2016.04.05 com activitats auxiliars. El nivell de coneixements especialitzats necessari s'ha de determinar, en particular, en funció de les operacions de tractament de dades que es duguin a terme i de la protecció exigida per a les dades personals tractades pel responsable o l'encarregat. Tals delegats de protecció de dades, siguin o no empleats del responsable del tractament, han d'estar en condicions d'exercir les seves funcions i comeses de manera independent.

L'article 37, apartat 1 del GDPR determina l'obligació de designar un DPO:

1. El responsable i l'encarregat del tractament designaran un delegat de protecció de dades sempre que:
a) el tractament el porti a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial;
b) les activitats principals del responsable o de l'encarregat consisteixin en operacions de tractament que, per raó de la seva naturalesa, abast i / o fins, requereixin una observació habitual i sistemàtica d'interessats a gran escala, o
c) les activitats principals del responsable o de l'encarregat consisteixin en el tractament a gran escala de categories especials de dades personals d'acord amb l'article 9 i de dades relatives a condemnes i infraccions penals a què es refereix l'article 10.


 

Informació relacionada