¡¡ MAMÁ, DE MAYOR QUIERO SER DPD !!

12 septiembre, 2017 por Govertis Blog 0 comentarios

¡¡ MAMÁ, DE MAYOR QUIERO SER DPD !!

Eduard Chaveli

IT Lawyer. GOVERTIS

ANTECEDENTES DEL DPD (DPO) Y SUPUESTOS DE

NOMBRAMIENTO.

No, no parece que la profesión del DPD o DPO vaya a estar en el top ten de las profesiones más demandadas… no desbancará al futbol como principal preferencia de los niños ni a la enseñanza, de primera escogida por las niñas, pero – al menos – entra en el escenario de posibles profesiones que podrían escoger.

Voy a publicar estos cuatro artículos siguientes que espero contribuyan a conocer mejor esta “nueva” profesión:

1. Antecedentes del DPD (DPO) y supuestos de nombramiento.
2. Posibilidades de configuración del DPD (DPO): Interno/externo, individual/colectivo y su posición o régimen.
3. Funciones y obligaciones del DPD (DPO)
4. Capacitación profesional del DPD (DPO). Especial referencia al esquema de certificación.

Empecemos por conocer los antecedentes que han llevado a la actual configuración de esta profesión y cuales son los supuestos de nombramiento que se contemplan en el RGPD y en el Anteproyecto de nueva LOPD (ANLOPD) como obligatorios, así como ciertas circunstancias que pueden hacer que su nombramiento sea recomendable.

1. ANTECEDENTES DEL DPD (DPO)

El RGPD introduce como obligatoria la figura del DELEGADO DE PROTECCIÓN DE DATOS (DPD, DPO O DATA PRIVACY OFFICER) aunque es una figura que ya existía en el marco de la Directiva 95/46. En concreto, el artículo 18.2 de la Directiva 95/46/CE permitía a los Estados miembros legislar o no sobre el DPD lo cual dio lugar a claras asimetrías entre éstos. De hecho, España, al igual que otros países, no había regulado dicha figura; en cambio, otros países sí que lo habían hecho: Unos como obligatoria, en ciertos supuestos (tal es el caso de Alemania); y otros como voluntaria (como sucede con Francia)[1]. La Directiva 95/46 permitía omitir la obligación de notificación previa de los tratamientos de datos a la autoridad de control cuando se dieran ciertas condiciones, entre las que se exigía la de que el responsable del tratamiento hubiera designado un encargado de protección de los datos personales (DPD) cuyas funciones, según la misma Directiva, son:

a) Hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la Directiva;
b) Y llevar un registro de los tratamientos efectuados por el responsable del tratamiento.

Además del desarrollo de esta figura en determinados países hay que hacer referencia también a los siguientes precedentes:

A. Por un lado, de su uso en organismos comunitarios

El Reglamento 45/2001 para instituciones y organismos comunitarios contempla expresamente la obligación de nombramiento de, al menos, un DPD. En la regulación (artículos 24 a 26) aparecen algunas de las notas que serán la base para la actual configuración del modelo de DPO del RGPD: algunas funciones, independencia, cualificación profesional etc.

B. Por otro lado, ya desde hace años existe la inquietud en las autoridades de protección de datos en relación con esta figura. En este sentido, ya en la Propuesta Conjunta para la Redacción de Estándares Internacionales para la protección de la Privacidad, en relación con el Tratamiento de Datos de carácter personal[2], acogida favorablemente por la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (celebrada en Madrid en 2009) se dispuso, entre las medidas proactivas, las siguientes:

“Los Estados incentivarán, a través de su derecho interno, el establecimiento por quienes intervengan en cualquier fase del tratamiento de medidas que promuevan el mejor cumplimiento de la legislación que resulte aplicable en materia de protección de datos”.

Y entre dichas medidas se contempla “la designación, de uno o varios oficiales de privacidad o de protección de datos, con cualificación, recursos y competencias suficientes para ejercer adecuadamente sus funciones de supervisión”.

Ya en el marco del RGPD, la figura del DPD ha emergido gracias, principalmente, a su exigibilidad en diferentes supuestos; y también gracias a que es una de las medidas que componen uno de los principales principios del RGPD: la responsabilidad activa. Entre dichas medidas, encontramos:

• El análisis de riesgos.
• El registro de actividades de tratamiento.
• La protección de datos desde el diseño y por defecto.
• Las medidas de seguridad.
• La notificación de “violaciones de seguridad de los datos”.
• La Evaluación de Impacto sobre la Protección de Datos (EIPD).
• Y, precisamente, el nombramiento en determinados supuestos de un Delegado de Protección de Datos.

Una vez vistos los antecedentes del DPD, y llegados a su regulación actual, hemos de empezar mencionando que deberemos tener en cuenta desde un principio lo siguiente, en relación con su configuración legal:

a) Por un lado, que el RGPD principalmente dedica los artículos 37 a 39 al DPD, artículos en los que se abordan aspectos como los supuestos de designación, cualidades, posición o funciones, entre otros; Sin perjuicio de la referencia en otros artículos que a lo largo de su texto hacen referencia a esta figura o algunas de sus tareas[3].

b) Por otro lado, el Grupo de Trabajo del artículo 29 dedicó una guía para abordar ciertos aspectos sobre el DPD [4]. A esta guía la denominaremos WP29DPD.

c) Asimismo, existe un anteproyecto de nueva LOPD (ANLOPD) que está en tramitación y que contiene referencias al DPD. Tenemos en cuenta en este texto el citado Anteproyecto.

d) Por último, hay que hacer referencia al esquema de certificación sobre el DPD, acreditado por ENAC, con la AEPD como propietaria del Esquema [5].

2. SUPUESTOS DE DESIGNACIÓN

El primer aspecto a abordar son los supuestos de designación. Como hemos comentado, el RGPD a diferencia de la Directiva 95/46 contempla ciertos supuestos de exigencia de designación de DPD. Sobre dichos supuestos, el GTA29 ha realizado algunas interpretaciones. Y, asimismo, el ANLOPD también contiene importantes novedades.

2.1. PANORAMA ANTERIOR

Como hemos avanzado la Directiva 95/46/CE permitía a los Estados miembros legislar o no sobre el DPD, lo cual había dado lugar a claras asimetrías entre éstos.

En la siguiente imagen se muestra cual era la situación anterior:

Términos utilizados:

DPO (Data Protection Officer)

DSO (Responsable de Seguridad)

Fuente: http://www.aspectosprofesionales.info/2012/04/el-delegado-de-proteccion-de-datos.html

CEDPO también elaboró en su día una interesante comparativa de las funciones del DPO en los diferentes países de la Unión Europea que puede ser importante consultar [6].

No obstante, y sólo por profundizar en un par de ejemplos, citaremos tres países que tenían diferencias sustanciales[7]:

1.ALEMANIA

Las principales notas de su configuración en Alemania eran las siguientes:

Obligatorio en determinados casos: empresas de más de 9 trabajadores que traten datos automatizados o determinados datos sensibles. O menos en caso de que traten con datos personales con regularidad.
Su presencia evita obligaciones de notificación.
Puede ser Interno o externo y tiene independencia.
Cualificación: “suficiente para cumplir sus tareas” (existe una guía de la autoridad alemana sobre requisitos mínimos del DPD).
Funciones: Supervisar la utilización del software de procesamiento de datos, formar a las personas que traten datos personales, etc.
Protección laboral: no puede recibir un trato desfavorable ni ser despedido en determinadas circunstancias (p.ej. por el nombramiento de un DPD externo).

2. FRANCIA

Las principales notas de su configuración eran las siguientes:

• Opcional pero se percibe como beneficioso y es fomentado ya que exonera de cumplir con la obligación de notificación de ficheros.
• Interno o externo, podrá ser externo o un empleado si hay menos de 50 trabajadores.
• Independencia.
• Cualificación: “suficiente para cumplir sus tareas”.
• Funciones: asegurar que el responsable del tratamiento cumple con la normativa de protección de datos, preparar una lista con los tratamientos, hacer consultas a la autoridad nacional de protección de datos, etc.
• Protección laboral: no puede ser sancionado por el empleador como resultado de cumplir con sus funciones.

3. ESPAÑA

……………………………………………………………………………………………………………………………………

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..

Como sabemos en España no se contemplaba ni como obligatoria ni como opcional la figura del DPD. En cambio, si que se contemplaba la del DSO o Responsable de Seguridad en determinados supuestos: ficheros de nivel medio o alto.

2.2. SUPUESTOS DE NOMBRAMIENTO OBLIGATORIO DE DPD

2.2.1. SUPUESTOS DE EXIGENCIA SEGÚN EL RGPD (artículo 37)

Según el RGPD el DPD no será obligatorio para todos los encargados y responsables del tratamiento de datos personales sino que, en virtud del artículo 37, únicamente será exigible en determinados supuestos:

a) El primer supuesto de exigencia de DPD se refiere a “Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial”.

Como ha dicho la propia AEPD[8] : “El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en las organizaciones públicas”.

Por ello, haremos referencia a las mismas. Los comentarios que merece o sugiere este primer supuesto son los siguientes:

1. En primer lugar, tal y como se dice en el WP29DPD,“el concepto de autoridad u organismo público debe ser determinado en la legislación nacional” y por tanto en cada Estado puede ser diferente.

2. Asimismo, el citado WP29DPD recomienda la designación de DPD en los siguientes supuestos:
a) Cuando organizaciones privadas ejerzan tareas relacionadas con servicios públicos. Ej. Concesión, proveedor de servicios como plataforma de administración electrónica.
b) Cuando una organización privada realice operaciones de tratamiento público. Ej. Tratamiento de nóminas de funcionarios.

3. También hay que tener en cuenta que el artículo 37.3. dispone que “Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”.

Esto es especialmente interesante en el caso de entidades locales en las que Mancomunidades, Cabildos, Diputaciones, uniones de varios municipios etc. acojan esta fórmula para permitirse disponer de esta figura.

4. Como hemos visto se exceptúa la obligación cuando se trate de autoridades judiciales.

b) El segundo supuesto de exigencia se refiere a cuando “Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.

Los comentarios que sugiere este primer supuesto son los siguientes:

1. ¿Qué se entiende por actividades principales?

El WP29DPD entiende por actividades principales las primarias, lo que excluye las auxiliares. Y cita varios ejemplos que van desde supuestos en los que la actividad central del responsable supone el tratamiento a gran escala de muchos interesados (como es el supuesto obvio, por ejemplo, de un hospital); como otros en los que la actividad central de datos a gran escala se construye a partir de la actividad como encargado del tratamiento, como sucede, por ejemplo, con las empresas de seguridad privada de muchos clientes.

Es decir, para tener en cuenta el volumen de datos tratados y atender a la actividad principal no sólo se debe de tener en cuenta la condición de responsable sino también la de encargado del tratamiento.

2.¿Qué significa “a gran escala”?

Sin duda, uno de los conceptos más indeterminados del RGPD es el concepto de “a gran escala”. El WP29DPD realizó una aproximación (que, posteriormente, las autoridades de control han asumido en su guía del RGPD) al concepto de “a gran escala” indicando que, para configurarlo, hay que tener en cuenta los siguientes elementos:

• El número de interesados afectados: bien en términos absolutos, bien como proporción de una determinada población.
• El volumen de datos y la variedad de los datos tratados.
• La duración o permanencia de la actividad de tratamiento.
• La extensión geográfica de la actividad de tratamiento.

Y el WP29DPD cita algunos ejemplos de tratamientos a gran escala:

• Datos de pacientes de un hospital.
• Datos de las personas que utilizan el sistema de transporte público de la ciudad (por ejemplo, seguimiento a través de tarjetas de viaje).
• Datos de geolocalización en tiempo real de los clientes de una cadena de comida rápida internacional para fines estadísticos.
• Datos de clientes en el marco normal de negocio de una compañía de seguros o un banco.
• Datos personales con fines de publicidad conductual por un motor de búsqueda.
• Datos (tráfico, contenido, ubicación) tratados por los proveedores de servicios de telefonía o internet.

3. ¿Qué significa “Monitorización u observación regular y sistemática”?

Aunque la noción de monitoreo regular y sistemático de los interesados no se define en el RGPD, el WP29DPD tiene en cuenta el considerando 24 del RGPD[9] a tenor del cual se incluye en este concepto todas las formas de seguimiento y generación de perfiles de la red, incluyendo los fines de la publicidad conductual. Sin embargo, la noción de monitorización no se limita al entorno y seguimiento en línea sino que deben de tener se en cuenta dentro de la misma también otros supuestos.

El W29DPD interpreta que ‘regular/habitual’ significa una de las siguientes definiciones:

• se encuentra en desarrollo en unos intervalos determinados y en un periodo específico
• sucede de manera repetida en unos periodos fijados
• sucede de manera constante o periódica.

Asimismo, el W29DPD interpreta que “sistemático” significa que:

• sucede en relación con un sistema pre-establecido, organizado o metódico
• ocurre en el marco de un plan general de recogida de datos
• llevado a cabo a través de una estrategia.

Y también indica algunos ejemplos de monitorización regular y sistemática:

• Gestión de una red de telecomunicaciones.
• Prestación de servicios de telecomunicaciones.
• Promociones y encuestas masivas por correo electrónico (retargeting).
• Perfiles y puntuación para los propósitos de la evaluación del riesgo (por ejemplo, para efectos de puntuación de crédito, el establecimiento de las primas de seguros, prevención de fraude, detección de lavado de dinero).
• Ubicación por seguimiento (por ejemplo, geolocalización en aplicaciones móviles).
• Programas de fidelización.
• Publicidad conductual.
• Monitoreo de datos de salud mediante dispositivos móviles o wearables (relojes inteligentes).
• Circuito cerrado de televisión / Videovigilancia en amplias zonas.
• Dispositivos conectados (como por ejemplo coches inteligentes, domótica etc.).

c) Por último, el último supuesto de exigencia que contempla el RGPD es “Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.

2.2.2. DPD EN EL ENCARGADO DEL TRATAMIENTO

Los supuestos de exigencia de nombramiento de DPD son “comunes” al Responsable y Encargado del Tratamiento. Es decir: Cuando se de alguno de dichos requisitos en cualquiera de ellos tendrá que designar un DPD.

Pero, como dice el WP29DPD, “porque el responsable tenga que nombrarlo no necesariamente debe nombrarlo el encargado pero puede ser una buena práctica”.

Por el contrario, existirán supuestos en los que el Encargado sí que deba nombrarlo y, en cambio, el Responsable no. Varios ejemplos que menciona el WP29DPD:

1. Una pequeña empresa familiar realiza distribución de electrodomésticos en una sola ciudad y utiliza los servicios de un Encargado, cuya actividad principal es proporcionar servicios de web analytics y la asistencia a la comercialización y publicidad dirigida. Las actividades de la empresa familiar y sus clientes no generan procesamiento de datos a ‘gran escala’, teniendo en cuenta el pequeño número de clientes y las actividades relativamente limitadas. Sin embargo, las actividades del Encargado, teniendo muchos clientes como esta pequeña empresa, tomados en conjunto, llevan a cabo procesamiento a gran escala.

2. Una mediana empresa subcontrata ciertos servicios en los que se tratan datos de salud a un Encargado, que tiene un gran número de clientes similares. El Encargado deberá designar un DPD en virtud del artículo 37.1.c., siempre que el proceso sea a gran escala.

2.2.3. SUPUESTOS ESPECIALES DE NOMBRAMIENTO

El artículo 37 del RGPD contempla tres supuestos especiales de nombramiento:

1. Grupos de empresas
El artículo 37.2. RGPD indica:
“Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento».

2. Autoridades u organismos públicos
El artículo 37.3. RGPD dispone:
“Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”.

Pero, en cuanto al número de personas que deben de nombrarse o hasta qué ”límite” es razonable que un mismo DPD preste servicios en varias administraciones públicas”, la AEPD ha dicho:
“Con carácter general, cabe señalar, en primer lugar, que de acuerdo con el RGPD es posible designar un único DPD para, por ejemplo, un ministerio, consejería o ayuntamiento. Al mismo tiempo, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un departamento ministerial, consejería o ayuntamiento (podrían ser ejemplos los casos de la Secretaría de Estado de Seguridad Social, responsable de la dirección y tutela de las Entidades Gestoras y Servicios Comunes de la Seguridad Social, o el de la Dirección General de Tráfico)”.

3. Asociaciones y colectivos
El artículo 37.4. RGPD reza:
“En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados”.

2.2.4. SUPUESTOS DE DESIGNACIÓN OBLIGATORIA DEL DPD SEGÚN LA NUEVA LOPD

El ANLOPD ha añadido en su artículo 35 una relación de supuestos tasados en los que se exige nombramiento de DPD:
“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:

a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada”.

2.2.5. SUPUESTOS DE DESIGNACIÓN VOLUNTARIA DE DPD

Además de los supuestos de designación obligatoria del DPD es posible su designación voluntaria.

Esta designación voluntaria puede atender a motivos derivados de su conveniencia, como por ejemplo:

1. Las elevadas sanciones previstas en el RGPD.
2. La mayor importancia que se le da, por parte de los interesados y de las organizaciones, al activo datos personales.
3. La cada vez mayor complejidad de los tratamientos: mayor número de tratamientos transnacionales, nuevos retos (big data, blockchain, IoT, etc.), la existencia de disposiciones y estándares internacionales relacionados (ENS, ISO 27001, etc.).

En este sentido el ANLOPD dispone (artículo 35.2.) que “Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar un delegado de protección de datos voluntario, que quedará sometido al régimen establecido en este capítulo”.

Es decir, a los DPD que sean designados voluntariamente les será de aplicación el mismo régimen de derechos y obligaciones que a los supuestos en los que el establecimiento del DPD es obligatorio.

[1]Una visión completa sobre el DPD en los diferentes países de Europa antes del RGPD puede consultarse en el siguiente documento de CEDPO “First position paper on theEuropeanCommissionProposalfor a General Data ProtectionRegulation 30.03.2012″. Disponible en: http://www.cedpo.eu/wp-content/uploads/2015/01/CEDPO-Position_Paper_GDPR_20120330.pdf. Última consulta realizada el 28/08/2017.

[2] Puede consultarse a través del siguiente link: https://edps.europa.eu/sites/edp/files/publication/09-11-05_madrid_int_standards_es.pdf. Última consulta efectuada el 29/08/2017.

[3] Por ejemplo cuando el artículo 33.3. menciona el contenido mínimo de las notificaciones de las violaciones de seguridad indica, entre otros:

“b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información”.Última consulta efectuada el 29/08/2017.

[4] Esta guía puede consultarse en http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

[5] El esquema se puede consultar en la siguiente URL: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Certificacion/ESQUEMA_AEPD_DPD_PUBLICO_1.0.pdf. Última consulta efectuada el 29/08/2017.

[6] Puede consultarse en https://www.gdd.de/aktuelles/arbeitshilfen/DPO_Spreadsheet_All_Countries.PDF. Última consulta efectuada el 29/08/2017.

[7] Fuente: International Comparative Legal Guides. En esta página se puedeencontarlegislacióncomparada.https://iclg.com/practice-areas/data-protection/data-protection-2017. Última consulta efectuada el 29/08/2017.

[8] https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Funciones_DPD_en_AAPP.pdf. Última consulta efectuada el 29/08/2017.

[9] En el considerando 24 del RGPD se indica:

“debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.