+34 616 121 639 aralegis@aralegis.es

Se encuentran obligadas al nombramiento de un DPO las empresas que realizan tratamiento de datos como actividad principal de organización, por tanto, debemos conocer los tipos de empresas que requieren contratarlo:

        A) Empresas que realizan un tratamiento relevante de datos

El Considerando 91 del Reglamento proporciona algunas orientaciones acerca del concepto de «relevante» pero no es posible dar un número preciso con respecto a la cantidad de datos tratados o al número de personas afectadas.

Según el Grupo de Trabajo para la privacidad de la Unión Europea se pueden tener en cuenta los siguientes factores para determinar si el tratamiento se realiza a gran escala:

  • El número de sujetos
  • El volumen de datos que se están procesando
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de procesamiento

 

Ejemplos de procesamiento relevante:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • procesamiento de datos de viaje de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, seguimiento a través de tarjetas de viaje)
  • procesamiento de datos geolocalización en tiempo real de los clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado
  • procesamiento de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesamiento de datos personales para publicidad conductual mediante un motor de búsqueda
  • procesamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

         B) Monitorización regular y sistemática de actividades personales

La noción de control periódico y sistemático de los datos no está definida en el Reglamento, aunque:

 

  1. El concepto de «control del comportamiento de los interesados» se menciona en el Considerando 24 e
  2. Incluye todas las formas de seguimiento y perfiles en Internet o realizados con fines de publicidad conductual

 

El Grupo de Trabajo interpreta ‘regular’ como:

  • Repetido a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente

 

E interpreta «sistemático» como:

  • Propio de un sistema
  • Preparado, organizado o metódico
  • Realizado en el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia empresarial

         C) Empresas que tratan categorías especiales de datos y datos relacionados con las actividades delictivas

En este supuesto se encuentran los tratamientos de datos de salud, orientación sexual, creencias, ideología, etc. El Reglamento en su artículo 37 se refiere:

  1. al tratamiento de categorías especiales de datos de conformidad con el artículo 9 y
  2. a los datos personales relativos a las condenas penales y los delitos enunciados en el artículo 10.

        D) Autoridades u organismos públicos

Se engloban tanto autoridades nacionales, regionales y locales, como otros organismos de derecho público donde la presencia de un DPO puede ser necesaria para proporcionar una protección adicional a los interesados.

 

Como ejemplos encontramos:

  1. servicios de transporte público
  2. suministro de agua y energía
  3. infraestructuras viarias o
  4. los colegios profesionales