El concepto "Gran Escala"

Uno de los elementos novedosos del RGPD es el concepto de Gran Escala, que no queda precisamente bien definido en el texto legal y queda sujeto a la libre de interpretación, a pesar de lo cual vamos a intentar acotar en la medida de nuestra posibilidades, analizando el texto del propio RGPD y las directrices del Grupo de Trabajo del Art. 29.

En el Considerando 91 se habla ya de operaciones de tratamiento a gran escala: que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos…. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

De estas primeras informaciones podemos extractar:

·         Gran  cantidad de datos

·         Con ámbito geográfico regional o superior

·         Con afectación a gran número de interesados

·         Referidos a datos sensibles

·         Aplicando nuevas tecnologías a esa gran escala

·         Que entrañen alto riesgo para los derechos y libertades de los interesados

·         Y hay que prestar especial atención a los dos ejemplos que propone para excluir de estas consideraciones como son un médico y/o un abogado que trabajen individualmente.

El GT29 en sus directrices 248 sobre la evaluación del impacto de la protección de datos (DPIA) y La transformación es "susceptible de dar lugar a un riesgo elevado" a efectos del Reglamento 2016/679 Aprobada el 4 de abril de 2017 establece una serie de criterios para determinar ese alto riesgo y el punto 5 lo dedica a intentar concretar el concepto gran escala:

5. Datos tratados gran escala: el GDPR no define lo que constituye a gran escala, aunque el considerando 91 proporciona algunas orientaciones. En cualquier caso, el GT29 recomienda que se tengan en cuenta, en particular, los siguientes factores para determinar si el tratamiento se realiza a gran escala:

·  El número de sujetos afectados, ya sea como número específico o como proporción de un conjunto de población;

·    El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando;

·         La duración o permanencia de la actividad de tratamiento de datos;

·         La extensión geográfica del tratamiento.

 

Téngase en cuenta que no es un criterio único ni muy objetivo, aunque lo intenta y por lo tanto cualquier interpretación debe estar debidamente justificada y argumentada.