Tratamiento de datos a gran escala y nombramiento de DPD

La normativa de protección de datos configura al Delegado de Protección de Datos (“DPD”) como una figura clave dentro de la organización en el modelo de cumplimiento de dicha normativa. No obstante, la designación del DPD no es obligatoria en todos los casos.

En concreto, el artículo 37 del Reglamento General de Protección de Datos establece que los responsables y encargados deberán proceder a su designación cuando:

• el tratamiento sea llevado a cabo por una autoridad u organismo público;
• las actividades principales consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
• las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
  

Adicionalmente, el artículo 34 de la LOPDGDD concreta lo anterior al incluir una lista de responsables o encargados que, en todo caso, deben proceder a la designación obligatoria del DPD como, por ejemplo, los establecimientos financieros de crédito, distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural o, en ciertos casos, las entidades que desarrollen actividades de publicidad y prospección comercial.

Si bien la normativa española, al enumerar actividades concretas que exigen que el responsable o encargado designe un DPD, aporta más seguridad a los sujetos obligados que el Reglamento General de Protección de Datos, ambas normas hacen referencia a conceptos jurídicos indeterminados como, por ejemplo, “actividad principal”, “observación habitual y sistemática” o “gran escala”.

Actividad principal, observación habitual y sistemática de interesados a gran escala

En relación con lo anterior, la Agencia Española de Protección de Datos (“AEPD”) ha sancionado a una cadena de restaurantes de comida rápida con 20.000 euros por no haber designado a un DPD cuando, bajo el criterio de esta agencia, dicha cadena de restaurantes trata datos personales que, debido a su naturaleza, alcance y/o fines, requieren una observación habitual y sistemática de interesados a gran escala.

Por su lado, al inicio del procedimiento, la cadena de restaurantes alegó “que no existe la obligación de designación del DPD, debido a que las actividades del tratamiento realizadas no se circunscriben a las del art 37 RGPD ni la entidad se encuentra entre las obligadas en el art 34 LOPDGDD” y, en concreto, que en ningún caso trata datos a gran escala a través de su actividad principal.

No obstante, la AEPD considera las actividades de marketing llevadas a cabo por la cadena de restaurantes como actividad indisociable y necesaria a la actividad principal llevada a cabo. En este sentido, de acuerdo con lo indicado en las Directrices sobre los delegados de protección de datos-DPD del Grupo de Trabajo del Artículo 29, la AEPD entiende que “las “actividades principales” pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, las “actividades principales” no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento”.

Adicionalmente, la AEPD entiende que dicha entidad realiza una observacion habitual y sistematica de los datos de interesados puesto que, de acuerdo con el criterio del Grupo de Trabajo del Artículo 29, el supuesto examinado cumple con el criterio de ser habitual (se produce a intervalos concretos o recurrentes o repetidos) y conforme a un plan de recogida de datos para obtener datos de los clientes e incrementar su área de negocio.

Por ultimo, en relación con el concepto de tratamiento a gran escala, la AEPD entiende que el tratamiento llevado a cabo supone:

• tratar una cantidad considerable de datos personales (todos los citados en su política de privacidad) en un determinado ámbito territorial (en este caso a nivel nacional);
• afectando a múltiples interesados (se trata de una app de amplia implantación y con un gran número de interesados);
• también si pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización).

Por todo lo anterior, la AEPD entiende que la cadena de restaurantes trata datos de manera habitual y sistemática a gran escala que son necesarios para llevar a cabo su actividad principal y, por tanto, infringe los artículos 37 del RGPD y 34 de la LOPDGDD.

Por último, cabe recordar que la AEPD ya impuso una sanciones muy similares por esta misma infracción como, por ejemplo, la sanción de 25.000 euros impuesta a una empresa de movilidad urbana al entender que también trataba datos a gran escala de manera habitual y sistemática aun cuando su actividad principal era otra, o la sanción de 50.000 euros impuesta a una empresa de seguridad privada.