Como ya os adelanté en el artículo ¿Cuándo es obligatorio nombrar un Delegado de Protección de datos?, el RGPD recoge los supuestos en que es obligatorio nombrar un Delegado de Protección de Datos (DPD) en su artículo 37.1, estos supuestos son:
- El tratamiento lo lleve a cabo una autoridad u organismo público.
- Las principales responsabilidades del encargado del tratamiento consistan en operaciones del tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran la observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
Por otra parte, la LOPD prevé la designación obligatoria del DPD para entidades “que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.”
Como sucede con el concepto de “tratamiento de datos a gran escala”, ni el RGPD ni la LOPD 3/2018 definen que se entiendo por observación habitual y sistemática. Sin embargo, el considerando 24 del RGPD menciona “observación del comportamiento de los interesados” indicando que “Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.”
No obstante, el concepto de observación no se limita al entorno en online y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados.
El Grupo de Trabajo del artículo 29 interpreta «habitual» con uno o más de los siguientes significados:
- continuado o que se produce a intervalos concretos durante un periodo concreto;
- recurrente o repetido en momentos prefijados;
- que tiene lugar de manera constante o periódica.
El Grupo de Trabajo interpreta «sistemático» con uno o más de los siguientes significados:
- que se produce de acuerdo con un sistema;
- preestablecido, organizado o metódico;
- que tiene lugar como parte de un plan general de recogida de datos;
- llevado a cabo como parte de una estrategia.
Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados
Asimismo, el grupo de trabajo sobre protección de datos del artículo 29 en sus directrices sobre los delegados de protección de datos enumera algunos ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son:
- Operar una red de telecomunicaciones;
- Prestar servicios de telecomunicaciones;
- Redireccionar correos electrónicos;
- Actividades de mercadotecnia basadas en datos;
- Elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos, por ejemplo, para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero;
- Llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles;
- Programas de fidelidad;
- Publicidad comportamental;
- Seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles;
- Televisión de circuito cerrado;
- Dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.
Deja un comentario