Agencia PS Bilbao Portugalete
Líderes en
"Soluciones para el Cumplimiento"

Actualidad

 
Tratamiento de datos personales a gran escala
24 de Junio

Un gran cambio que introdujo el RGPD fue el concepto del tratamiento de datos personales a gran escala. La primera vez que se explica este concepto es en el CONSIDERANDO 91 que viene a establecer lo siguiente:

“(…) las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.(…)”

Sin embargo, para una correcta definición y poder comprender este concepto debemos recurrir al documento Directrices sobre los delegados de protección de datos (DPD) elaborado por el GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29.

Tratamiento de datos personales a gran escala

No es posible dar una cifra exacta, relacionada a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse al contexto de todos los RESPONSABLES DE TRATAMIENTO. Puede que con el tiempo se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye «a gran escala» con respecto a determinados tipos de actividades de tratamiento comunes.

El Grupo de Trabajo del artículo 29 también prevé contribuir a este desarrollo, compartiendo y publicando ejemplos, y recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:

  • Nº de interesados afectados (como cifra concreta o como proporción de la población correspondiente).
  • Volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
  • Duración o permanencia de la actividad de tratamiento de datos.
  • Alcance geográfico de la actividad de tratamiento.

Cita los siguientes ejemplos que SÍ podrían considerarse gran escala:

  1. Tratamiento de datos de pacientes en un hospital.
  2. Tratamiento de datos de desplazamiento de las personas que utilizan transporte público de una ciudad.
  3. Tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida.
  4. Tratamiento de datos de clientes en una compañía de seguros o de un banco.
  5. Tratamiento de datos personales para publicidad comportamental por un motor de búsqueda.
  6.   Tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o Internet.

Cita los siguientes ejemplos que NO son considerados gran escala:

  1. Tratamiento de datos de pacientes por parte de un único médico.
  2. Tratamiento de datos personales relativos a condenas e infracciones penales por parte de un único abogado.

 

Protección de datos personales a gran escala

 

La nueva legislación ofrece varias formas de proteger los datos personales cuando son tratados a gran escala.

En primer lugar,  el RGPD en su artículo 37 establece DOS SUPUESTOS en los que es necesario contar con un Delegado de Protección de Datos o DPO, cuando:

  • Las actividades principales consistan en operaciones de tratamiento requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos.

Luego, la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. lo desarrolla en su artículo 34 y cita otros DOS SUPUESTOS más concretos:

  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

En segundo lugar, tanto el RGPD como la LOPDGDD obligan a los responsables / encargados de tratamiento de datos a gran escala a realizar Evaluación de Impacto de Protección de Datos.

Podéis ampliar información sobre la EIPD en el siguiente documento Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679

También, os dejamos el enlace al documento publicado por la AEPD -> LISTAS DE TIPOS DE TRATAMIENTOS DE DATOS QUE REQUIEREN EVALUACIÓN DE IMPACTO RELATIVA A PROTECCIÓN DE DATOS (Regulado en el artículo 35.4).

Y, en tercer lugar, deben elaborar y mantener actualizado el documento Registro de Actividades de tratamiento. Queremos recordar que NO disponer de este registro o no facilitarlo a la autoridad de control competente podría considerarse una INFRACCIÓN GRAVE, reguladas en el artículo 73 de la LOPDGDD.

Desde PREVENSYSTEM os animamos a que profundicéis en la materia de protección de datosgestionéis correctamente los datos personales de los afectados.

En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD.

 
Empresa Responsable con el VIH  y el Sida en EspañaFundación Metal AsturiasWorld Compliance AssociationSTAREGISTERPLAN DE RESPONSABILIDAD SOCIAL DE ARAGÓNTarjeta Profesional de la ConstrucciónMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoEntidad Acreditada por Servicio de Prevención AjenoMiembros de AENOAUniversidad de San JorgeIntedyaPrevilaborFondo Social Europeo
PrevenSystem 2019