Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

En este sentido, se debe traer a colación lo afirmado en el Considerando 97 del Reglamento (UE) 2016/679, donde se afirma:

“Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”.

Por el concepto de “actividades principales”, en los términos recogidos en el Reglamento (UE) 2016/679 pueden considerarse, tal como ha puesto de manifiesto el Grupo de Trabajo del artículo 29, aquellas operaciones clave, que son necesarias para lograr los objetivos del responsable o del encargado del tratamiento, el cual señala que como tales no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad de dichos operadores jurídicos.

El Considerando trascrito, al mencionar el citado concepto de obligaciones principales, distingue estas de aquellas que son auxiliares en la actividad del responsable o del encargado de tratamiento. Por ello, lo que determina la aplicación del precepto que hace obligatorio el nombramiento de un delegado de protección, es, precisamente, cuando la actividad principal del responsable o del encargado del tratamiento, determine operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.

b.2). El concepto de tratamiento “a gran escala”.

Complementariamente a la determinación del concepto por el que se concreta la expresión “actividad principal”, debe prestarse también atención a otro concepto, en este caso, el que se refiere a la actividad de tratamiento desarrollada “a gran escala”.

En este caso, debe hacerse referencia al contenido del apartado in fine del Considerando número 91 del citado Reglamento (UE) 2016/679:

“…Las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo”, para continuar afirmando, “…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria”.

Como criterio a considerar, debe partirse del hecho de que, en la actualidad, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. Por ello, y en cualesquiera de los casos, el Grupo de Trabajo del artículo 2919 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

a) El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.

b) El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.

c) La duración, o permanencia, de la actividad de tratamiento de datos.

d) El alcance geográfico de la actividad de tratamiento.

b.3). El concepto de “observación habitual y sistemática”.

Este concepto como tal no se encuentra definido en el Reglamento (UE) 2016/679, pero como elemento de ayuda para interpretar su alcance y su eficacia, debe recurrirse al Considerando número 24 de dicho Reglamento Comunitario, en el que se afirma lo siguiente:

“Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.

De dicho precepto se deduce, en primer término, que el tratamiento debe tener como objetivo principal, el seguimiento de los titulares de los datos y la creación de perfiles como relación a los mismos, con el fin concreto, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes, aunque ello no es incompatible con el hecho de que además se persigan otras finalidades con el tratamiento previsto.

En todo caso, hay de tenerse en cuenta, que estas finalidades del tratamiento incluyen la publicidad efectuada sobre la base del comportamiento de las personas.

En este orden de cosas, debe tener en cuenta que el Grupo de Trabajo del Artículo 29, ha llevado a cabo la interpretación del término “habitual”, tal como se contiene en la norma, en el sentido siguiente:

a) Continuado o que se produce a intervalos concretos durante un periodo concreto.

b) Recurrente o repetido en momentos prefijados.

c) Que tiene lugar de manera constante o periódica.

Del mismo modo, dicho Grupo de Trabajo ha llevado a cabo la misma labor con relación al término “sistemático”, que lo interpreta de la siguiente manera:

a) Que se produce de acuerdo con un sistema.

b) Preestablecido, organizado o metódico.

c) Que tiene lugar como parte de un plan general de recogida de datos;

d) Llevado a cabo como parte de una estrategia.

Todos estos elementos deben interpretarse en su conjunto a los efectos de determinar si las operaciones de tratamiento, precisamente, debido a su naturaleza, alcance o fines requieren: (i) una observación habitual y sistemática de interesados; y (ii) que la misma se produzca a gran escala.

C. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Con relación a este tercer apartado, sirva lo afirmado ya en el apartado anterior sobre los conceptos de: (i) “actividades principales”; (ii) “a gran escala”; siendo necesario precisar otra serie de conceptos como son:

c.1). Cuando el tratamiento lo sea con relación a las categorías especiales de datos.

En el examen del concepto relativo al tratamiento de categorías especiales de datos, en primer término, es necesario referirse a la regulación existente sobre esta categoría específica de datos de carácter personales, y más concretamente de lo afirmado en el artículo 9 del Reglamento (UE) 2016/679, relativo al tratamiento de datos sensibles, establece al efecto, con relación a esta tipología de datos, lo siguiente: