¿QUE EMPRESAS NECESITARÁN REALMENTE UN DELEGADO DE PROTECCIÓN DE DATOS?

En mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos. Una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la contratación de un delegado de protección de datos (DPO, por sus siglas en inglés: data protection officer) en determinados supuestos.

La norma no deja muy claro que empresas tendrán obligatoriamente que tener esta figura, por lo que la Agencia Española de Protección de Datos (AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan algo más los conceptos a los que se refiere el Reglamento y ha establecido tres supuestos de designación obligatoria:

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público: Se entiende que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma (una app que maneja perfiles, por ejemplo), o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa
  2. Cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala: No se especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es “a gran escala”, siendo necesario que de determine un criterio objetivo, que parece que se realizará en breve.
  3. Cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos:
    1. Por “seguimiento” debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.
    2. “Regular” se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.
    3. “Sistemático”, el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.

Así pues resulta evidente que la generalidad de las empresas no tendrán la obligación de tener esta figura en sus plantillas,

Related

admin