En relación a designar o no un delegado de protección de datos

En relación a designar o no un delegado de protección de datos

El Consejo del COP, en relación a la entrada en vigor del RGPD de la UE el pasado 25 de mayo de 2018, trasladó a Unión Profesional (UP) la consulta sobre si los centros sanitarios unipersonales tienen la obligación de designar un DELEGADO DE PROTECCIÓN DE DATOS (DPD) teniendo en cuenta que la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, define "Centro sanitario" como el conjunto organitzado de profesionales, instalaciones y medios técnicos que realizan activitades y proporciona servicios para cuidar la salud de los pacientes y usuarios;

Con posterioridad, se va a trasladar la respuesta ofrecida por el departamento de protección de datos de Unión Profesional en virtud de la colaboración existente en esta materia entre UP y la Agencia Española de Protección de Datos:

La RGPD establece la obligatoriedad de designar un DPD bajo determinadas circunstancias (art. 37.1):

Cuando el tratamiento se lleve a cabo por una autoridad u organismo público, excepto por los tribunales en el ejercicio de sus funciones.

Cuando las actividades principales del responsable o encargado del tratamiento son clave para conseguir sus objetivos, consistiendo en operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala. El concepto a gran escala es ambiguo, pero el articulo 91 lo define como "operaciones de tratamiento que tengan por objeto procesar una cantidad considerable de datos personales", es decir, un gran número de interesados y que sean susceptibles de generar un riesgo elevado. El Grupo de Trabajo del articulo 29 añade tener en cuenta el número de interesados, el volumen o tipos de datos, la duración del tratamiento y el alcance geográfico.

Cuando las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos: datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o la pertenencia a sindicatos, tratamiento de datos genéticos, datos biométricos para la identificación exclusiva de personas físicas, datos relativos a la salud y datos relativos a condenas e infracciones penales.

En este sentido, no se considera tratamiento a gran escala el llevado a cabo por un solo psicólogo (considerando el article 91). Por tanto, no sería obligatoria la figura del DPD.

Les personas que trabajen en el centro tendrán que firmar, sea un centro unipersonal o multipersonal, un documento de confidencialidat respecto a la protección de datos de sus pacientes, a propósito del Reglamento de la UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril del 2016, relativo a la protección de datos personales y la libre circulación de estos datos aplicable el 25 de mayo de 2018.