Una de las figuras que aparecen cada vez que se habla de la adaptación al nuevo Reglamento General de Protección de Datos (RGPD), es la del Delegado de Protección de Datos (DPO).
A través de este post vamos a informar a través de preguntas y respuestas sobre si tu organización necesita incluir esta figura en su organigrama.
¿Cuándo necesitas un DPO?
Según el RGPD, el DPO será necesario en las siguientes situaciones:
Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
Cuando las actividades principales de la empresa consistan en operaciones de tratamiento que requieran tratamientos a gran escala.
Cuando las actividades principales de la organización consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
El RGPD permite a las empresas que nombren a una persona de su organización para que desarrolle las funciones del DPO o a un tercero no vinculado a la misma para que preste estos servicios.
¿Qué son las categorías especiales de datos personales?
Esta categoría se aplica a los siguientes tipos de datos:
Origen étnico o racial
Opiniones políticas
Datos genéticos
Datos biométricos
De la salud
Vida o la orientación sexual
Convicciones religiosas o filosóficas o la afiliación sindical
Por tanto, si realizas tratamientos de este tipo de datos, es posible que necesites de los servicios de DPO en tu empresa.
¿Qué es un tratamiento a gran escala?
A los efectos del RGPD, se consideran tratamientos a gran escala los tratamientos de datos personales a nivel regional, nacional o supranacional que podrían afectar a un gran número de interesados y entrañen un alto riesgo para los derechos y libertades de las personas de las que se tratan sus datos. Del mismo modo, se considerará tratamiento a gran escala cuando se recojan un gran número de datos de carácter personal por medio de mecanismo de control en zonas de acceso al púbico.
En definitiva, si tu empresa trata un gran volumen de datos, sean de categoría especial o no; y/o utilice cualquier tipo de tecnología que te permita tomar decisiones de forma automática sobre los datos de carácter personal, estarías realizando tratamientos a gran escala.
¿Realmente necesito un DPO?
No necesariamente. Como regla general si se tratan datos a gran escala y/o categorías especiales de datos, su empresa debe contar con un DPO.
Sin embargo, el RGPD establece que en el caso de que se recaben datos personales de pacientes o clientes, por un único médico, otro profesional de la salud o abogado, no tendrá la consideración de tratamiento a gran escala.
Por tanto, existe una excepción en los tratamientos a gran escala, que sería a la de que un único profesional trate los datos de carácter personal; y sólo para los sectores sanitarios y de servicios jurídicos.
En caso de no desarrollar tu actividad en estos ámbitos o tener más de un técnico involucrado en el tratamiento, necesitas un DPO en tu organización.
En caso contrario puedes desarrollar tu actividad sin necesidad de realizar el nombramiento de un DPO. Por ejemplo, una óptica que cuenta solo con un óptico-optometrista que se encarga de tratar los datos de los clientes, no tendría la necesidad de tener un DPO, puesto que al no considerarse el tratamiento como a gran escala, no existe la obligación impuesta por el RGPD de nombrar un DPO.
Fernando Álvarez
Abogado en Carrillo Asesores