31 Dic NECESIDAD DE NOMBRAMIENTO DE UN DELEGADO DE PROTECCIÓN DE DATOS: tratamiento de datos a gran escala
Según el artículo 37.1 del RGPD, las organizaciones que deben nombrar un DPO son las siguientes:
- Autoridades y organismos públicos.
- Responsables o encargados que tengan, entre sus actividades principales, operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan, entre sus actividades principales, el tratamiento a gran escala de datos sensibles.
Respecto a las «actividades principales del responsable o el encargado del tratamiento» hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma.
Respecto «A gran escala», el Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es «a gran escala». Sin embargo, El Grupo de trabajo del artículo 29 (compuesto por un representante de la autoridad de protección de datos de cada Estado miembro de la UE, el Supervisor Europeo de Protección de Datos y la Comisión Europea) , ha establecido que los elementos que deben tenerse en cuenta para precisar si el tratamiento es «a gran escala» son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
Además, no sólo hay que tener en cuenta el volumen de datos que se tratan, sino también los profesionales que acceden a ellos. Si fuera un solo profesional, quizás no sería necesario, pero en el caso de que accedan varios profesionales y de categorías diferentes, sin duda tendría que ser objeto de estudio específico.
Considerendo 91:
Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus 4.5.2016 ES Diario Oficial de la Unión Europea L 119/17 derechos. La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.
Considerando 97:
Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales L 119/18 ES Diario Oficial de la Unión Europea 4.5.2016 como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.