Amb relació a designar o no un delegat de protecció de dades

Publicat el 7 de Juny de 2018

El Consell del COP, amb relació a l'entrada en vigor de l'RGPD de l'UE el passat 25 de maig de 2018, va traslladar a Unió Professional (UP) la consulta sobre si els centres sanitaris unipersonals tenen l'obligatorietat de designar un DELEGAT DE PROTECCIÓ DE DADES (DPD) tenint en compte que la Llei 41/2002, de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica, defineix "Centre sanitari" com el conjunt organitzat de professionals, installacions i mitjans tècnics que realitza activitats i dóna serveis per cuidar la salut dels pacients i usuaris;

Tot seguit, es va traslladar la resposta oferta pel departament de protecció de dades d'Unió Professional, en virtut de la collaboració existent en aquesta matèria entre UP i l'Agència Espanyola de Protecció de Dades:

L'RGPD estableix l'obligatorietat de nomenar un DPD sota determinades circumstàncies (art. 37.1):

Quan el tractament es dugui a terme per una autoritat o organisme públic, excepte pels tribunals en l'exercici de les seves funcions.

Quan les activitats principals del responsable o encarregat de tractament són claus per aconseguir els seus objectius, consisteixin en operacions de tractament que requereixin una observació habitual i sistemàtica d'interessats a gran escala. El concepte a gran escala, és ambigu, però l'article 91 el defineix com "operacions de tractament que tenguin per objecte processar una quantitat considerable de dades personals", és a dir, un gran nombre d'interessats i que siguin susceptibles de generar un risc elevat. El Grup de Treball de l'article 29 afegeix tenir en compte el nombre d'interessats, el volum o tipus de dades, la durada del tractament i l'abast geogràfic.

Quan les activitats principals del responsable o de l'encarregat consisteixin en el tractament a gran escala de categories especials de dades, l'art. 9 dades persones que revelin origen racial o ètnic, opinions polítiques, creences religioses o filosòfiques o la pertinença a sindicats, tractament de dades genètiques, dades biomètriques per a la identificació exclusiva de persones físiques, dades relatives a la salut i dades relatives a condemnes i infraccions penals.

En aquest sentit, no es considera tractament a gran escala el duit a terme per un sol psicòleg (considerant l'article 91). Per tant, no seria obligatori la figura del DPD.

Les persones que treballin en el centre hauran de signar, sigui un centre unipersonal o multipersonal, un document de confidencialitat respecte a la protecció de dades dels seus pacients, a propòsit del Reglament de l'UE 2016/679 del Parlament Europeu i del Consell, de 27 d'abril del 2016, relatiu a la protecció de dades personals i la lliure circulació d'aquestes dades aplicable el 25 de maig del 2018.