El pasado miércoles 11 de octubre se celebró en la sede del Consejo General de Médicos (OMC) un encuentro que, bajo el título de “Protección de datos en las corporaciones colegiales”, abordó las implicaciones que la inminente aplicación del nuevo Reglamento General de Protección (RGPD) de Datos acarreará para los colegios profesionales y para el conjunto de los profesionales de España entre los que se encuentran, entre otras profesiones, los médicos, los abogados o los farmacéuticos.

En el encuentro estuvo presente la directora de la Agencia Española de Protección de Datos, Mar España, el Adjunto a la Dirección de la Agencia Española de Protección de Datos, Jesús Rubí Navarrete y el Subdirector General del Registro General de Protección de Datos, Julián Prieto Hergueta.

Los colegios y consejos profesionales deberán disponer de un delegado de protección de datos

Durante el coloquio se aclaró que uno de los puntos clave para los colegios profesionales es que estarán obligados a disponer de un DPO.

“En el caso de los colegios y los consejos generales, como señala expresamente el anteproyecto de ley orgánica, son tratamientos de datos realizados por corporaciones de derecho público luego, toda la parte de tratamientos realizados en el ejercicio de estas funciones de derecho público, exigen necesariamente que los colegios y los consejos tengan un delegado de protección de datos”.

El DPO como servicio a prestar para colegiados

Uno de los aspectos clave introducidos por el RGPD es la figura del Delegado de Protección de Datos (DPO) que, según indicó Mar España podrá ser también tratado como un servicio a proporcionar por los colegios profesionales de modo que “voluntariamente ese profesional pudiera contratarlo o no. A lo mejor sólo para hacer el análisis de riesgo.” La directora de la AEPD recordó que los gruesos de los profesionales tendrán que realizar un análisis de riegos y que su provisión por parte de los colegios profesionales “sería una manera de abaratar costes y dar tranquilidad y seguridad jurídica en el ejercicio de la profesión”.

Igualmente declaró Jesús Rubí Navarrete que: “Se podrá ir a la fórmula de compartirlo, como señalaba la directora, entre unos y otros, a nivel territorial o como mejor se considere, pero va a tener que existir”.

¿Qué es un tratamiento a gran escala?

Otro de los puntos más ambiguos del RGPD, qué se entiende por tratamiento a gran escala, también fue tratado durante la presentación.

En su intervención, el Adjunto a la Dirección de la Agencia Española de Protección de Datos, intentó aclarar el concepto de tratamiento de datos “a gran escala”, uno de los que más dudas genera entre los profesionales. “Sobre el tratamiento a gran escala, debemos tener en cuenta el considerando 91 del RGPD que es como el nudo gordiano o la piedra filosofal en relación con estas profesiones”, declaró Rubí Navarrete. “No debe considerarse a gran escala el tratamiento de datos de pacientes o clientes por un sólo médico, otro profesional de la salud, o un abogado”.

“No es posible, en el modelo de cumplimiento de este reglamento, establecer unas reglas precisas (sobre qué es tratamiento a gran escala),” valoró Rubí Navarrete. “Tienes que responder a esta pregunta ¿Puedes cumplir con el reglamento sin asesoramiento? Sí o no. Si se trata de un tratamiento a gran escala de categorías especiales de datos pues, evidentemente habrá que nombrar un delegado de protección de datos, pero hay que tener en cuenta que el DPO es una figura muy potente que está en contacto permanente con el responsable de tratamiento para informarle, para asesorarle, para supervisar, para auditar, etc…

Sobre el tipo de empresas u organizaciones, Rubí Navarrete añadió que “no cabe duda de que, por ejemplo, un gran despacho (de abogados) va a tener que tener un DPO. La cuestión será en las situaciones intermedias y también habrá que distinguir entre unas y otras profesiones, aunque traten datos protegidos porque no va a ser lo mismo un centro sanitario que una farmacia. En ese aspecto habrá que ser flexible y no todas las farmacias son iguales y no todos los centros sanitarios son iguales”.

También aclaró Rubí Navarrete que, en el caso de que aquellos profesionales que realicen tratamiento de categorías especiales de datos pero no consideran que sea a gran escala, es conveniente tener un asesoramiento documentado en el que se recogen las razones por las cuales no se considera tratamiento a gran escala.

Finalmente el Subdirector General del Registro General de Protección de Datos, Julián Prieto Hergueta ha presentado la herramienta FACILITA para ayudar a las empresas y profesionales en el cumplimiento del RGPD y también ha informado de que antes de final de año harán pública una guía para facilitar el análisis de riesgo y una guía para facilitar la evaluación de impacto. Lo más relevante es que no la podrán utilizar aquellos responsables que traten datos de nivel alto ya que no está preparada ni indicada para estos casos. Además, ha recordado la puesta en marcha del único esquema de certificación de toda Europa para los delegados de protección de datos que, eso sí, no será obligatorio.