En dos meses todas las empresas y administraciones deberán cumplir con las obligaciones establecidas por el Reglamento General de Protección de Datos

El nuevo reglamento europeo de protección de datos, RGPD, entra en vigor el próximo 25 de mayo. Apenas faltan dos meses por delante para adaptar los procesos relacionados con la protección de datos al nuevo reglamento. 

alvaro ramos abogado asociadoDesde Mayo de 2016, fecha en la que se aprobó el RGPD, administraciones y empresas debían adaptarse a la nueva normativa. Con un plazo de tiempo tan amplio, ahora vienen las prisas, incluso al propio gobierno, que debería haber modificado la Ley Orgánica de Protección de Datos para que estuviera adaptada antes de la entrada en vigor, y no se espera que esté aprobada hasta octubre, aunque el hecho de que no tengamos una LOPD actualizada no significa que no se tenga que cumplir con el RGPD.

Por el contrario, la Agencia Española de Protección de Datos sí está facilitando guías para la adaptación de las empresas y administraciones al RGPD, aunque dichas Guías son complejas para las empresas que no cuentan con experiencia en el tratamiento de datos.

Los cambios en la gestión del dato y en su tratamiento son muy relevantes ya que se introducen nuevos principios que deben implementarse como el Accountability (responsabilidad proactiva), Transparencia, Privacy by Design, Privacy by Default, protocolos como las Evaluaciones de Impacto o las Quiebras de Seguridad, elaboración de registro de actividades, informe de riesgos, etc.

Además, de todos estos cambios surge el Delegado de Protección de Datos (DPO en sus siglas en inglés), nueva figura de nuestro reglamento que provoca que determinadas empresas deban contar con los servicios de un DPO, ya sea interno o externo. Y decimos determinadas empresas porque el RGPD no concreta qué empresas deben contar con un DPO. El artículo 37 del RGPD establece:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  1. a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Para poder esclarecer qué empresas están obligadas a contar con un DPO, fuera de los casos a y c, debemos analizar el citado artículo basándonos en las directrices del Grupo de Trabajo del artículo 29:

¿Qué son las actividades principales?

El Grupo de Trabajo considera que para determinar actividad principal se ha de tener en cuenta, no solo que la actividad principal de la empresa sea el tratamiento de datos, por ejemplo la elaboración de perfiles, sino que se tiene que valorar cuando la actividad resulte parte intrínseca de la actuación de la empresa, poniendo el ejemplo de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, un Hospital sí debe contar con un DPO.

¿Qué se considera a gran escala?

El RGPD no especifica cifras de datos tratados para tener la consideración de gran escala, aunque no se descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es “a gran escala” son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.

¿Qué es el seguimiento regular y sistemático?

El Grupo de Trabajo considera que “regular” se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica. Y, respecto a “sistemático”, específica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte de una estrategia.

El proyecto de Ley Orgánica de Protección de Datos, en su artículo 34 sí establece la obligación de contar con un DPO para determinadas empresas, por ejemplo:

Los colegios profesionales.

Los centros docentes públicos.

Las entidades de crédito.

Aseguradoras.

distribuidores y comercializadores de energía eléctrica.

Responsables de ficheros comunes (morosos).

Empresas de seguridad privada

Pincha aquí para acceder al proyecto de la LOPD.

Si necesita asesoramiento en la adecuación de su empresa al Reglamento General de Protección de Datos no dude en ponerse en contacto con nosotros enviando un email a abril@abrilabogados.com