Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  Tratamiento de datos personales a gran escala

Tratamiento de datos personales a gran escala

¿Cómo define el RGPD y la LOPDGDD el concepto gran escala?

24/06/2019

Un gran cambio que introdujo el RGPD fue el concepto del tratamiento de datos personales a gran escala. La primera vez que se explica este concepto es en el CONSIDERANDO 91 que viene a establecer lo siguiente:

“(…) las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.(…)”

Sin embargo, para una correcta definición y poder comprender este concepto debemos recurrir al documento Directrices sobre los delegados de protección de datos (DPD) elaborado por el GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29.

Tratamiento de datos personales a gran escala

No es posible dar una cifra exacta, relacionada a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse al contexto de todos los RESPONSABLES DE TRATAMIENTO. Puede que con el tiempo se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye «a gran escala» con respecto a determinados tipos de actividades de tratamiento comunes.

El Grupo de Trabajo del artículo 29 también prevé contribuir a este desarrollo, compartiendo y publicando ejemplos, y recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:

Cita los siguientes ejemplos que SÍ podrían considerarse gran escala:

  1. Tratamiento de datos de pacientes en un hospital.
  2. Tratamiento de datos de desplazamiento de las personas que utilizan transporte público de una ciudad.
  3. Tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida.
  4. Tratamiento de datos de clientes en una compañía de seguros o de un banco.
  5. Tratamiento de datos personales para publicidad comportamental por un motor de búsqueda.
  6.   Tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o Internet.

Cita los siguientes ejemplos que NO son considerados gran escala:

  1. Tratamiento de datos de pacientes por parte de un único médico.
  2. Tratamiento de datos personales relativos a condenas e infracciones penales por parte de un único abogado.

 

Protección de datos personales a gran escala

 

La nueva legislación ofrece varias formas de proteger los datos personales cuando son tratados a gran escala.

En primer lugar,  el RGPD en su artículo 37 establece DOS SUPUESTOS en los que es necesario contar con un Delegado de Protección de Datos o DPO, cuando:

Luego, la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. lo desarrolla en su artículo 34 y cita otros DOS SUPUESTOS más concretos:

En segundo lugar, tanto el RGPD como la LOPDGDD obligan a los responsables / encargados de tratamiento de datos a gran escala a realizar Evaluación de Impacto de Protección de Datos.

Podéis ampliar información sobre la EIPD en el siguiente documento Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679

También, os dejamos el enlace al documento publicado por la AEPD -> LISTAS DE TIPOS DE TRATAMIENTOS DE DATOS QUE REQUIEREN EVALUACIÓN DE IMPACTO RELATIVA A PROTECCIÓN DE DATOS (Regulado en el artículo 35.4).

Y, en tercer lugar, deben elaborar y mantener actualizado el documento Registro de Actividades de tratamiento. Queremos recordar que NO disponer de este registro o no facilitarlo a la autoridad de control competente podría considerarse una INFRACCIÓN GRAVE, reguladas en el artículo 73 de la LOPDGDD.

Desde PREVENSYSTEM os animamos a que profundicéis en la materia de protección de datosgestionéis correctamente los datos personales de los afectados.

En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD.

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar