¿Qué sujetos intervienen en el nuevo Reglamento Europeo General de Protección de Datos?

No Comments

Como ya explicamos en nuestro post previo, el nuevo Reglamento Europeo General de Protección de Datos denominado en adelante como “RGPD”,  introduce una serie de novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea. Con el nuevo reglamento se ha suprimido la obligación de notificar los ficheros a la Agencia Española de Protección de datos, pero es obligatorio llevar un registro de las actividades de tratamiento de datos, entre ellos qué sujetos intervienen en el nuevo reglamento europeo general de protección de datos y los denominados tratamientos de datos a gran escala.

¿Qué sujetos intervienen en el nuevo reglamento europeo general de protección de datos?

Como hemos señalado en nuestro post previo, además de la obligatoriedad del registro de las actividades de tratamiento de datos además es necesario que en las gestiones realizadas consten datos de los sujetos intervienen en el nuevo reglamento europeo general de protección de datos:

a) Responsable del tratamiento de datos. La entidad deportiva a la que el deportista o socio ha cedido su información directamente.

b) Autorizados. Se inscribirán en una lista todos los empleados del club con autorización para tratar datos. Es conveniente firmar un acuerdo de confidencialidad tanto con el delegado como con todos los empleados autorizados, así como formar en materia de protección de datos a la plantilla.

c) Encargado del tratamiento de datos. Es encargada del tratamiento de datos toda aquella empresa que preste un servicio a la federación o club, como por ejemplo asesorías y gestorías, compañías aseguradoras, clínicas médicas o fisioterapeutas, tiendas de ropa deportiva o agencias de organización de eventos. También entrarán dentro de esta categoría aquellos entrenadores y técnicos que estén dados de alta como autónomos. Los encargados del tratamiento no podrán prestar sus servicios al responsable de tratamiento si entre ellos no existe un contrato previo con las garantías pertinentes.

d) Delegado de protección de datos: constituye una de las principales novedades  de la proactividad de las empresas en la protección de los datos personales de los ciudadanos, el Delegado de protección de datos (DPD o DPO por sus siglas en inglés). Constituye una figura fundamental, entre los sujetos intervienen en el nuevo reglamento europeo general de protección de datos tras la reforma iniciada por el nuevo RGPD europeo, puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. Es un garante del cumplimiento de la normativa de la protección de datos en las organizaciones empresariales o asociaciones y clubes. Debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el Reglamento y Ley ( arts 34 a 37 de la LOPDGDD)

Solo será obligatorio en:

a) Para las Administraciones Públicas.

b) Empresas del sector privado que realicen tratamientos que requieran una observación habitual o sistemática de las personas o bien que traten datos especialmente protegidos a gran escala.

c) Los centros docentes.

d) Operadores de telecomunicaciones, entidades financieras, entidades de publicidad y prospección comercial, centros sanitarios, operadores de juego, empresas de seguridad privada, entre otros.

Por otro lado, el artículo 37.1 del Reglamento Europeo de Protección de Datos acerca de los sujetos intervienen en el nuevo reglamento europeo general de protección de datos establece que:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

En conclusión, la obligatoriedad del Delegado de Protección de Datos (DPO), aplica a  las Administraciones Públicas, (sin perjuicio que puedan designar un único delegado para varias autoridades, teniendo en cuenta su estructura organizativa y tamaño), así como a las compañías privadas que realicen el tratamiento de datos sensibles a gran escala.

Por tanto, el concepto de tratamiento de datos “a gran escala”por parte de los sujetos intervienen en el nuevo reglamento europeo general de protección de datos, lo establece el citado art. 37.1 b):  las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, “requieran una observación habitual y sistemática de interesados a gran escala”, concepto jurídico indeterminado.

 

Elemento novedoso del RGPD: el tratamiento de datos “a gran escala” 

Uno de los elementos novedosos del RGPD es el concepto de “gran escala”, que no queda precisamente bien definido en el texto legal y queda sujeto a la libre de interpretación, a pesar de lo cual vamos a intentar acotar en la medida de nuestras posibilidades, analizando el texto del propio RGPD y las directrices del Grupo de Trabajo del Art. 29 (Grupo de expertos en protección de datos dependiente de la Comisión Europea GT29)

En el Considerando 91 del RGPD  se habla ya de operaciones de tratamiento a gran escala: que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

De estas primeras informaciones podemos extractar:

  • Gran cantidad de datos.
  • Con ámbito geográfico regional o superior.
  • Con afectación a gran número de interesados.
  • Referidos a datos sensibles.
  • Aplicando nuevas tecnologías a esa gran escala.
  • Que entrañen alto riesgo para los derechos y libertades de los interesados.

(Y hay que prestar especial atención a los dos ejemplos que propone para excluir de estas consideraciones como son un médico y/o un abogado que trabajen individualmente).

El GT29 en su directriz 248 sobre la evaluación del impacto de la protección de datos (DPIA) concreta el concepto de “gran escala”:

Datos tratados gran escala: el GDPR no define lo que constituye a gran escala, aunque el considerando 91 proporciona algunas orientaciones. En cualquier caso, el GT29 recomienda que se tengan en cuenta, en particular, los siguientes factores para determinar si el tratamiento se realiza a gran escala:

– El número de sujetos afectados, ya sea como número específico o como proporción de un conjunto de población;

– El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando;

– La duración o permanencia de la actividad de tratamiento de datos;

– La extensión geográfica del tratamiento.

Téngase en cuenta que no es un criterio único ni muy objetivo, aunque lo pretende, y por lo tanto cualquier interpretación debe estar  justificada y argumentada jurídicamente.

Para más información sobre todo aquello relacionado sobre los sujetos intervienen en el nuevo reglamento europeo general de protección de datos o sobre el nuevo Reglamento Europeo General de Protección de Datos para las Federaciones Deportivas, no dudéis en poneros en contacto con nosotros como abogados expertos en derecho deportivo en Madrid.

Your Thoughts

Responsable del tratamiento: ABOGADOS HERNANI S.L.P.

Datos de contacto: ABOGADOS HERNANI S.L.P. Calle Edgar Neville, 16 5º B, 28020 Madrid, España. Teléfono:  915560006 Fax: 914178524 Email: info@abogadoshernani.com.

Base para el tratamiento: Consentimiento del titular de los datos.

Tratamiento que requiere su consentimiento: Remisión de información sobre las actividades de   ABOGADOS HERNANI S.L.P.  así como de comunicaciones comerciales vinculadas a sus productos y servicios.

Destinatarios: No se cederán los datos a terceros ajenos.  Sus datos se conservarán hasta que usted nos solicite que desea dejar de recibir informaciones de ABOGADOS HERNANI S.L.P.

Derechos: Usted, puede ejercer sus derechos de transparencia, información, acceso, rectificación, supresión o derecho al olvido, portabilidad, limitación y oposición al tratamiento de la información que le concierne y autoriza a formar parte de los tratamientos de datos personales llevados a cabo por  ABOGADOS HERNANI S.L.P.

Los derechos precitados podrán hacerse efectivos ante  ABOGADOS HERNANI S.L.P. , en la dirección postal y en las direcciones de correo electrónico antes señaladas, si bien, en el encabezamiento se deberá añadir el título "protección de datos"  y en la  comunicación deberá acompañarse de una fotocopia del DNI, por tratarse de un derecho personalísimo. No obstante, existen formularios a su disposición para ejercitar tales derechos.

Usted tendrá, asimismo, el derecho a presentar una reclamación ante una autoridad de control como es la Agencia Española de Protección de Datos, por un tratamiento ilícito relativo a sus datos personales.