¿Qué significan los criterios "actividad principal", "observación sistemática" y "tratamiento a gran escala"?
Estos criterios, que hemos mencionado en la anterior pregunta-respuesta, deben ser tenidos en cuenta a la hora de nombrar a un delegado de protección de datos (DPD), y se interpretan de la siguiente forma:
Actividades principales
Las "actividades principales" pueden considerarse como las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, éstas no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento. Por ejemplo, el Grupo de Trabajo del artículo 29 dictamina que la actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto, el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales deben, en consecuencia, designar un DPD.
Otro ejemplo sería el de una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está ligada de manera indisociable al tratamiento de datos personales. Por tanto, esta empresa debe también designar un DPD.
Por otra parte, todas las organizaciones llevan a cabo determinadas actividades, por ejemplo, pagar a sus empleados o realizar actividades ordinarias de apoyo. Dichas actividades son ejemplo de funciones de apoyo necesarias para la actividad principal o el negocio principal de la organización. Aunque estas actividades son necesarias o esenciales, normalmente se consideran funciones auxiliares y no la actividad principal.
Observación habitual y sistemática
La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de "observación del comportamiento de los interesados" se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental.
No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados. El Grupo de Trabajo del artículo 29 interpreta "habitual" con uno o más de los siguientes significados:
- continuado o que se produce a intervalos concretos durante un periodo concreto;
- recurrente o repetido en momentos prefijados;
- que tiene lugar de manera constante o periódica. Respecto a la interpretación "sistemático":
- que se produce de acuerdo con un sistema;
- preestablecido, organizado o metódico;
- que tiene lugar como parte de un plan general de recogida de datos;
- llevado a cabo como parte de una estrategia.
Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correos electrónicos; actividades de mercadotecnia basadas en datos; elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelidad; publicidad comportamental; seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles; televisión de circuito cerrado; dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.
Gran escala
El RGPD tampoco define qué se entiende por tratamiento a gran escala, aunque el considerando 91 ofrece alguna orientación. De hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo (según el Grupo de Trabajo del artículo 29), se desarrolle un método estándar para identificar en términos más específicos o cuantitativos dicho concepto. En cualquier caso, el citado Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:
- el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
- el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
- la duración, o permanencia, de la actividad de tratamiento de datos;
- el alcance geográfico de la actividad de tratamiento. Como ejemplos de tratamiento a gran escala cabe citar:
- el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
- el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
- el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
- el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
- el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
- el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
- Como casos que no constituyen tratamiento a gran escala cabe señalar:
- el tratamiento de datos de pacientes por parte de un solo médico;
- el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.
Si no encuentra respuesta, puede formularnos su consulta.