Por obra y gracia del Reglamento General de Protección de Datos (RGPD), a partir del 25 de mayo de 2018, determinadas entidades estarán obligadas a tener un Delegado de Protección de Datos (o DPO por las siglas en inglés del Data Protection Officer).
Sin embargo, el literal de esta obligación, transcrito en el artículo 37 del RGPD, no resulta especialmente claro a la hora de concretar cuándo es obligatoria esta figura.
En concreto, dicho artículo establece que:
- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Consciente de los interrogantes que plantea la redacción de este artículo, el Grupo de Trabajo del Artículo 29 (GT29) ha adoptado una guía interpretativa de la figura del DPO que intenta aclarar todas estas cuestiones dudosas:
1. Autoridad u organismo público
En principio no debería haber muchas dudas al respecto, pero el GT29 introduce la posibilidad de que determinadas empresas de derecho privado puedan ser consideradas equivalentes a autoridades u organismos públicos bajo su derecho nacional (p.e. transporte público, suministro de agua o energía, carreteras, medios de comunicación públicos, o colegios profesionales).
El GT29 considera que en algunos de estos casos, los ciudadanos se encuentran en una situación muy parecida a cuando sus datos son tratados por una administración pública, de forma que tienen muy poca o nula capacidad de elección sobre el tratamiento de sus datos por las normas que regulan esos sectores.
Sin perjuicio de un mejor criterio por parte de la AEPD, en España deberíamos considerar dentro de este concepto a las entidades incluidas dentro del ámbito de aplicación subjetivo (artículo 2) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
2. Actividad Principal
Llegamos a una de las claves que podrían limitar drásticamente la exigencia del DPO en la mayoría de las empresas españolas. Sin embargo, la guía del GT29 no llega a resolver de forma clara esta incógnita.
En concreto, el GT29 trata de diferenciar entre actividades principales y actividades auxiliares a través de 3 ejemplos demasiado evidentes como para extrapolar conclusiones generales:
a) La actividad principal de un hospital implica tratar datos de salud.
b) La actividad principal de una empresa de seguridad privada implica vigilar cierta cantidad de establecimientos, centros comerciales, etc.
c) Sin embargo, pagar a los empleados o tener soporte de IT en la empresa, son actividades auxiliares para las empresas.
Estos ejemplos son demasiado básicos y evidentes como para resolver situaciones más oscuras o inciertas, como por ejemplo, empresas cuya actividad principal es vender online, pero que hacen un seguimiento exhaustivo de lo que hacen sus usuarios en la web a través de cookies y píxeles de tracking. ¿Sería el tracking una actividad principal o auxiliar? En nuestra opinión, debería ser considerado como una actividad auxiliar, ya que sirve para mejorar o apoyar la actividad principal, pero no es un tratamiento intrínseco.
Pero. por otro lado, ¿el tracking de usuarios a través de cookies y píxeles constituiría una observación habitual y sistemática de interesados?
El GT29 aborda esta cuestión más adelante en el mismo documento, reconociendo que, aunque los términos “observación habitual y sistemática”, no están definidos en el RGPD, claramente incluyen el tracking y el perfilado en internet (especialmente si es con fines publicitarios), basándose en el Considerando 24 del RGPD. Además, añade otros tratamientos que considera que encajan dentro de este concepto, tales como los wearables que monitorizan la salud, tracking geográfico a través de dispositivos móviles, o el scoring para el acceso a productos financieros.
Podría ser discutible, pero al menos en esta ocasión el GT29 nos da una respuesta clara y concisa a una de las dudas que podrían surgir tras la lectura del RGPD.
3. Gran Escala
Otro de los “puntos negros” del RGPD es la reiteración de este término hasta 4 veces en el cuerpo normativo del RGPD sin definirlo en ningún momento. El único criterio interpretativo que ofrece el RGPD lo encontramos en el Considerando 91, en un ejemplo que no parece especialmente acertado: “El tratamiento de datos personales no debe considerarse a gran escala si lo realiza […] un solo médico”. Es decir, que si un único médico trata datos de miles de pacientes no sería tratamiento a gran escala; pero ¿y si dos médicos tratan unas cuantas decenas de pacientes?
Este es el dilema que irremediablemente plantea el Considerando 91. Pero veamos qué opina el GT29.
Para el GT29, dado que el RGPD no define qué debe considerarse como Gran Escala, no resulta posible dar un dato preciso que sea aplicable a todas las situaciones. Pero propone que, con el tiempo, se vaya desarrollando un estándar que permita objetivizar cuándo se debe considerar “Gran Escala” a través de los siguientes factores:
a) El número de afectados (sea en términos absolutos o relativos).
b) El volumen de datos de cada afectado que se tratan.
c) La duración del tratamiento.
d) El alcance geográfico del tratamiento.
Recordemos que el RGPD concede un plazo de 2 años a contar desde el 25 de mayo de 2016. Han pasado 7 meses, y el GT29 todavía se reconoce incapaz de interpretar cuestiones como esta, que han estado cocinándose en la Comisión Europea durante más de 4 años.
No obstante, el GT29 ofrece varios ejemplos que considera tratamientos de datos a “Gran Escala”, aunque no por ello estarán sometidos a la obligación de designar un DPO, ya que “Gran Escala” es sólo uno de los parámetros que componen las condiciones que exigen tal designación:
a) Tratamiento de datos de pacientes por parte de un hospital (¿incluso aunque sea un hospital con pocos pacientes o con una mínima “cuota de mercado”?).
b) Tratamiento de datos de viaje de transporte público.
c) Tratamiento en tiempo real de datos de geolocalización de clientes de una cadena internacional de comida rápida para fines estadísticos por parte de un proveedor especializado en estos análisis.
d) Tratamiento de datos de clientes por un banco o compañía de seguros (¿también aunque tengan una cuota mínima de mercado?)
e) Tratamiento de datos para publicidad basada en el comportamiento de los usuarios de un motor de búsqueda.
f) Tratamiento de datos por parte de un proveedor de servicios de acceso a internet o a la línea telefónica.
Resulta desesperanzador que el GT29 se reconozca incapaz de ofrecer una respuesta clara y concisa, y que la mayoría de los ejemplos que propone resulten muy discutibles.
4. DPO de Responsables y de Encargados
Una de las cuestiones que sí aclara el GT29 (aunque no era una situación particularmente dudosa), es si un Encargado debería nombrar a un DPO cuando el Responsable esté obligado, o viceversa.
Por poner unos ejemplos:
a) La empresa que presta servicios de mensajería a una gran cadena hospitalaria, ¿debería tener un DPO?
b) Y, en el caso inverso, si una empresa contrata la vigilancia de la salud de sus empleados con un servicio de prevención ajeno (SPA), el SPA probablemente esté obligado a designar un DPO porque es posible que haga tratamiento de datos de salud a gran escala. ¿La empresa que contrata los servicios del SPA, debe designar un DPO? (llama la atención que el GT29 ponga precisamente este ejemplo de “encargo de tratamiento”, cuando la AEPD considera que los SPA no son Encargados, sino Responsables, ¿Debería empezar la AEPD a validar sus criterios más discutibles a través del mecanismo de coherencia?).
En ambos casos, la respuesta del GT29 es que no.
Por lo demás, este documento del GT29 se limita a reiterar las cuestiones que ya estaban claras para la figura del DPO en el propio RGPD.
En definitiva, esta guía del GT29 nos deja un sabor más agrio que dulce y nos empieza a generar preocupación sobre el vacío en cuanto a los criterios interpretativos necesarios para poder adaptarnos al RGPD antes del 25 de mayo de 2018.
Cada día que pasa sin que las propias autoridades de protección de datos tengan claros estos criterios, es un día que se está “hurtando” a las empresas para adaptarse a esta norma que amenaza con multas millonarias en caso de incumplimiento.
Alguien debería tomar las riendas de este asunto, fijar todos los criterios interpretativos necesarios y resetear la cuenta atrás para que el plazo de 2 años para adaptarnos fuese real.
José Carlos Moratilla
Responsable del Departamento Legal
Áudea Seguridad de la Información