Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

MARIA TERESA BALLESTER BARRIO

¿Una asociación de 60 socios debe tener delegado/a de protección de datos?

17.10.18

Hola,

Como asociación sin animo de lucro, con 60 socios, ¿tenemos obligación de tener delegado de protección de datos?

Gracias.

Compárte en las redes sociales

Respuestas

avatar
#1

Aportada por:

Gustavo de la Orden

Responsable de SolucionesONG.org y Probonos.net en Fundación Hazloposible.

Trabaja en:

Fundación Hazloposible

18.10.18

Hola María Teresa:

Puedes encontrar la respuesta a tu consulta en el enlace de esta otra consulta antes publicada:

¿Tenemos obligación de tener una persona delegada de protección de datos?

Esperamos que os sea de utilidad.

Un saludo.

avatar
#2

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

20.10.18

Estimada María Teresa: en relación con la consulta planteada, paso a informarle lo siguiente: en primer lugar, aunque en algunos países de la Unión Europea como Alemania, Bélgica, Hungria o Polonia existe la figura jurídica del Delegado de Protección de Datos (en adelante, DPD), no obstante, con la entrada en vigor el día 25 de mayo de 2018 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), esta figura jurídica forma parte de nuestro ordenamiento jurídico estatal.
Al respecto, el DPD viene regulado en la sección 4ª del RGPD, concretamente, en su artículo 37.1 donde establece las organizaciones que deberán nombrar un DPD:
1) Autoridades y organismos públicos.
2) Organizaciones que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, o que procesen categorías especiales de datos personales a gran escala.
Centrándonos en el segundo supuesto, el mismo puede crear algunas dudas, sobre si un responsable o encargado del tratamiento debe nombrar un DPDdentro de su organización, son los términos del segundo punto: «Actividades principales del responsable o el encargado del tratamiento», “gran escala”, “seguimiento regular o sistemático” o “categorías especiales de datos personales”. 
En este sentido, cabe estar al análisis realizado por el Grupo de Trabajo del Artículo 29 (GT29) en sus Directrices sobre los delegados de la protección de datos, que intenta dar luz a estas cuestiones, pudiendo traerse a colación las siguientes menciones: 
-El GT29 recomienda que todas las entidades, entre ellas, las entidades privadas sin ánimo de lucro como las asociaciones y fundaciones, cuenten con un DPD, ya que facilita el cumplimiento de la normativa. Además, el GT29 recomienda que los responsables y encargados del tratamiento documenten el análisis interno llevado a cabo para determinar si debe nombrarse o no un DPDa fin de poder demostrar que se han tenido en cuenta adecuadamente los factores pertinentes.
-En lo que se refiere a las “Actividades principales del responsable o el encargado del tratamiento”, el GT29 establece en sus directrices que las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o el encargado del tratamiento. Pone de ejemplo la actividad de un hospital, que es la de prestar asistencia sanitaria, pero que no podría funcionar sin el tratamiento de datos de salud. Por tanto, un hospital sería un sujeto obligado a tener un DPD.
-En lo que concierne a la expresión “A gran escala”, en el Considerando 91 del RGPD podemos encontrar una aproximación del significado que se pretende dar al término “Gran escala”: “operaciones de tratamiento a gran escala que tengan por objeto procesar una cantidad considerable de datos personales en el ámbito regional, nacional o supranacional, que pudieran afectar a un gran número de interesados y que sean susceptibles de generar un riesgo elevado”.
Debido a la imposibilidad de señalar una cifra exacta que se convierta en el umbral de los tratamientos a gran escala, el GT29 recomienda que se tengan en cuenta algunos factores, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:  número de interesados involucrados; volumen de datos o el abanico de diferentes conceptos de datos que se procesan; duración o permanencia de la actividad de tratamiento de datos; alcance geográfico de la actividad de tratamiento.
Asimismo, el GT29 pone algunos ejemplos de lo que serían tratamientos a gran escala: tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad; tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios; tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco; tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda; tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet. 
-En cuanto a la expresión “Seguimiento regular y sistemático”, el GT 29 deja claro que este concepto incluye todas las formas de seguimiento y creación de perfiles en Internet, inclusive a efectos de publicidad basada en el comportamiento.  No obstante, aclara el GT29, la noción de seguimiento no está limitada al entorno on-line.
Establece algunos ejemplos de operaciones de este tipo: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correo electrónico; creación de perfiles y puntuación con fines de evaluación de riesgos; seguimiento de ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelización; publicidad basada en el comportamiento; seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles; circuito cerrado de televisión; dispositivos conectados…
-Por lo que se refiere a la expresión “Categorías especiales de datos y datos relativos a condenas y delitos penales”, en este punto no existe controversia, ya que el propio Artículo 37.1 nos remite a los datos recogidos en los Artículos 9 y 10 del RGPD. No obstante, el GT29 aclara que aunque en el texto aparece la conjunción “Y” debe entenderse como “O”: “Categorías especiales de datos o datos relativos a condenas y delitos penales”.
De otra parte, en cuanto a cómo se regulará en la normativa nacional estatal lo referido anteriormente, la AEPD en su 9ª sesión anual abierta no quiso pronunciarse sobre si la futura ley orgánica que derogará a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal contendrá algún tipo de listado de organizaciones o sectores obligados. 
No obstante, expuso una lista de organizaciones, a título enunciativo y no exhaustivo, donde sí se dan los requisitos del Artículo 37.1 del RGPD:
Entidades aseguradoras y reaseguradoras.
Distribuidores y comercializadores de energía eléctrica o gas natural.
Entidades responsables de sistemas de información crediticia.
Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
Centros sanitarios.
Centros docentes que ofrezcan enseñanzas regladas, universidades.
Colegios profesionales.
Entidades dedicadas al juego on line…
Con todo lo anterior, cabe colegir, a la luz de lo expuesto, que la designación de un DPD no es obligatoria en el seno de vuestra entidad, aunque sí recomendable para velar por el cumplimiento del RGPD, considerándose el DPD como una suerte de mediador y orientador dentro de vuestra organización, de enlace con la AEPD, en caso de conflicto, y en última instancia, como un referente de una persona afectada dentro de vuestra entidad por haber hecho un presunto mal uso de sus datos personales.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com

solucionesong.org
Un proyecto de