Delegado de Protección de Datos Personales en Madrid

• En algunos casos, el umbral de un tratamiento de datos personales a gran escala se ha situado a partir de las 5.000 personas.

  En otros casos, se ha estimado que el umbral se alcanza al llegar a las 10.000 personas en caso de que se procesen datos relacionados con servicios financieros y de pago; servicios de confianza digital como la firma electrónica; datos de comunicación; datos de geolocalización en tiempo real; y datos relacionados con la elaboración de perfiles con efectos legales.

  En general, para todos los demás casos, el umbral de gran escala se fija en unas 50.000 personas, lo que significa que cualquier base de datos que abarque más de 50.000 personas activará, por ejemplo, el requisito de una evaluación de impacto.

  No obstante, de acuerdo con el documento de la UE, Directrices sobre los responsables de la protección de datos de 5 de abril de 2017 (WP 243), aparte del número de personas afectadas en el tratamiento de datos, también deben valorarse otros parámetros cualitativos que requieren discernimiento legal, como:

  El número de interesados afectados como proporción de la población pertinente.
  La variedad de datos que se tratan.
  La duración o permanencia de la actividad de tratamiento de datos.
  La extensión geográfica de la actividad de tratamiento.

Son las categorías de datos reguladas en el artículo 9 del Reglamento General de Protección de Datos Personales y que por su naturaleza especialmente sensible, debido a los aspectos a los que afectan, se encuentran especialmente protegidos, de modo que solo excepcionalmente podrían ser tratados por una organización.

Efectivamente, dicha norma establece que son datos personales especialmente protegidos los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical.

La misma norma también establece que son de especial protección también los datos genéticos, los biométricos que identifiquen de forma unívoca a una persona física, así como los relativos a la salud; la vida u orientación sexual de una persona.

El artículo 34 de la LOPD regula una relación de situaciones en las que, en todo caso, se cumplen las circunstancias que el artículo 37 del RGPD había establecido como supuesto general y que obligan a nombrar Delegado de Protección de Datos Personales:

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Las entidades y/o prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de las personas usuarias del servicio.
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, que presten servicios de ordenación, supervisión y solvencia de entidades de crédito.
• Las entidades cuya actividad sea establecimientos financieros de crédito.
• Las entidades que presten servicios como aseguradoras y reaseguradoras.
• Las entidades que sean empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Las entidades cuyas actividades sean la prestación de servicios de distribución y comercialización de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Las entidades que desarrollen actividades y servicios de publicidad y prospección comercial, incluyendo las entidades de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de las personas afectadas o realicen actividades y servicios que impliquen la elaboración de perfiles de las mismas.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos y servicios la emisión de informes comerciales que puedan referirse a personas físicas.
• Las personas operadoras que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las entidades o empresas cuya actividad sean servicios de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.
• Las entidades responsables o encargadas del tratamiento no incluidas en el párrafo anterior podrán designar de manera voluntaria un DPD que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la citada ley orgánica española.