AD+
Tratamiento a Gran Escala y el Delegado de Protección de Datos
En el artículo https://adefinitivas.com/arbol-del-derecho/nombramiento-y-funciones-del-dpo-daiana-lamela-scafarelli/ hemos analizado el nombramiento y funciones del Delegado de Protección de Datos en las organizaciones tanto públicas como privadas. En el mismo, se indicaron los sujetos obligados conforme a lo recogido en el art. 34 de la LOPDGDD y 37.1 del RGPD, precisamente en este último se menciona lo siguiente:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”
Pues bien, el pasado 18 de noviembre la Audiencia Nacional confirma la multa de 25.000 euros impuesta por la Agencia Española de Protección de Datos (https://www.aepd.es/es/documento/ps-00417-2019.pdf) a una entidad privada por no contar con Delegado de Protección de Datos.
El procedimiento sancionador se inicia por parte de dos interesados cuyos motivos alegados se fundamentan en la falta de Delegado de Protección de Datos al que dirigir sus reclamaciones. La Agencia Española de Protección de Datos (en adelante, “AEPD”), solicita a la entidad reclamada, la información necesaria para determinan la obligación del nombramiento.
La entidad reclamada, responde que no se encuentra dentro de los supuestos recogidos en el artículo 37 del RGPD ni en el 34 de la LOPDGDD.
Tras el análisis realizado, la AEPD concluye:
“Se considera que la falta de designación de DPD, al realizar la reclamada un tratamiento de datos personales a gran escala, da lugar a la vulneración del artículo 37.1b) del RGPD en relación con el artículo 34 de la LOPDGDD.”
Además, considera que procede graduar la sanción conforme lo criterios que establece el artículo 83.2 apartado a y g del RGPD:
- Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
- Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
La entidad reclamada presenta recurso contencioso administrativo (N.º 1439/2020) frente a la sanción impuesta por la AEPD. La Audiencia Nacional confirma la multa y en los Fundamentos Jurídicos de la Sentencia (https://www.poderjudicial.es/search/AN/openDocument/8aeb6a50c0dbd5e2a0a8778d75e36f0d/20221205) recoge en cuanto al tratamiento de datos a gran escala mediante APP:
“…y aunque no puede ser objeto de una determinación numérica o cuantitativa estricta precisamente porque los usuarios de apps tan populares como la recurrente son incontables, estamos ante un caso en que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la app, y siendo tantos los usuarios y por tanto los intereses afectados, éstos entran dentro de la categoría a gran escala , y que si bien opera el término como un concepto jurídico indeterminado no puede la recurrente ampararse en ello cuando del riesgo de tratamiento de abundantes datos personales se está hablando.”
Por tanto, la Audiencia Nacional concluye que cualquier cantidad relevante de datos de interesados unido al uso de una APP se considera tratamiento a gran escala. Entonces, para comprender el concepto de tratamiento a gran escala, tendremos que acudir a las directrices establecidas por el Grupo de Trabajo del Artículo 29 (“GT29”) y al Considerando 91 del RGPD que establece:
“Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.”
Como conclusión para poder identificar el tratamiento de datos a gran escala, se deberá de proceder a su análisis en cuanto a:
Si el resultado del análisis es positivo, la entidad estaría dentro de las obligadas para nombrar Delegado de Protección de Datos. Además de dicha obligación, si realiza tratamiento de datos a gran escala, deberá de realizar el Análisis de Evaluación de Impacto, así como dar cumplimiento al resto de obligaciones recogidas por la normativa vigente en materia de protección de datos.
Daiana Lamela Scafarelli
13 de diciembre de 2022
Fuentes:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- https://www.aepd.es/es/documento/ps-00417-2019.pdf
- https://www.poderjudicial.es/search/AN/openDocument/8aeb6a50c0dbd5e2a0a8778d75e36f0d/20221205
Socia en I+D Abogados
Nuevas Tecnologías/Privacidad/DPO
Miembro de la Asociación Profesional Española de Privacidad – APEP
