Para evaluar la necesidad de un DPD, los desarrolladores examinan los requisitos del artículo 37 del RGPD. Dado que estos mencionan a menudo el criterio de “gran escala”, los desarrolladores deciden evaluar primero si el tratamiento puede considerarse de gran escala, adoptando el enfoque del Grupo de Trabajo del Artículo 29.
| Evaluación para el criterio de “gran escala” | |
| Número de personas afectadas | Se esperan de 30 a 50 sujetos de datos |
| Volumen de datos y/o gama de datos diferentes que se procesan | Se tratarán datos personales (por ejemplo, nombre, edad, etc.) y categorías especiales de datos (huellas palmares) |
| Duración o permanencia de la actividad de tratamiento de datos | Los promotores esperan que el estudio dure un año |
| Alcance geográfico de la actividad de tratamiento | Los promotores esperan que el estudio tenga alcance local (municipio) |
Tras la evaluación, los promotores deciden que la actividad de transformación puede configurarse como “a gran escala”. Aunque no se disponga de criterios cuantitativos y, por tanto, el resultado de la evaluación no pueda considerarse concluyente, lo deciden así con vistas a mantener un enfoque más prudente.
Una vez evaluado el criterio de “gran escala”, los promotores proceden a evaluar la necesidad de una OPD.
| Requisitos que exigen un delegado de la protección de datos | ||
| “El tratamiento es llevado a cabo por una autoridad u organismo público, excepto los tribunales que actúan en su capacidad judicial” | ✗ | No se aplica |
| “Las actividades principales del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que, por su naturaleza, su alcance y/o sus fines, requieren un control regular y sistemático de los interesados a gran escala” | ✗ | No se aplica (no hay un seguimiento regular ni sistemático) |
| “Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9” | ✓ | Se aplica (categorías especiales de datos y tratamiento “a gran escala”) |
| “Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de […] datos personales relativos a las condenas penales y a las infracciones contempladas en el artículo 10” | ✗ | No se aplica (no hay datos personales relacionados con condenas e infracciones penales) |
| En todos los demás casos no enumerados por los requisitos 1 a 3, “el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados del tratamiento podrán designar o, cuando así lo exija el Derecho de la Unión o de los Estados miembros, deberán designar un delegado de protección de datos” | ✗ | No se aplica (no hay legislación específica de la UE o de los Estados miembros) |
Dado que uno de los requisitos es aplicable, los desarrolladores deciden designar un DPD. El responsable del tratamiento (Developing Inc.) no tiene un DPD designado. Por lo tanto, los promotores proceden a contratar uno.
| Régimen jurídico: categorías especiales de datos personales | |||
| ¿Cumple la actividad con uno de los requisitos de un DPD? | Sí | ✓ | La designación de un DPD es obligatoria |
| No | La designación de un DPD es opcional | ||