Para definir un concepto tan difuso y poco concreto como el de “gran escala”, presente en el RGPD, en los supuestos de designación obligatoria de Delegados de Protección de Datos, o en los supuestos de necesidad de realizar una Evaluación de Impacto de Privacidad, tenemos que acudir a las “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de trabajo sobre protección de datos del artículo 29, donde hace una aproximación a dicho concepto.
Analizar si un tratamiento es a gran escala
Además de poner ejemplos, se menciona que, para determinar por parte de un responsable o encargado del tratamiento cuándo se está en presencia de un tratamiento “a gran escala” deben tenerse en cuenta los siguientes aspectos:
- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente
- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento
- La duración o permanencia de la actividad de tratamiento de datos
- El alcance geográfico de la actividad de tratamiento.
Análisis de riesgos en los tratamientos de datos personales sujetos a RGPD
Una vez que tenemos claro los aspectos que debemos evaluar para saber si estamos en presencia de un tratamiento a gran escala, debemos cifrar, o poner en claro, los baremos de cantidad para cada uno de los aspectos a evaluar. Para ello, (a falta de regulación legal) podemos acudir a la “Guía práctica de Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD” de la Agencia Española de Protección de Datos, en cuyo anexo I (Plantilla de análisis de la necesidad de la realización de una EIPD) se establecen los siguientes:
- El número de sujetos afectados (es decir, cuántos interesados van a ser objeto de este tratamiento)
- De 0 a 10.000 (1)
- De 10.000 a 100.000 (2)
- + de 100.000 (3)
- La duración del tratamiento
- Instantáneo (1)
- Días (2)
- Semanas (3)
- Meses (4)
- La extensión geográfica del tratamiento
- Tratamiento a nivel regional (1)
- Nacional (2)
- Internacional (3)
Guía para la gestión y notificación de brechas de seguridad
No obstante, dicha plantilla ofrece solución a tres de los cuatro aspectos a analizar para verificar si un tratamiento es a gran escala o no.
La cuarta se refiere al volumen de datos o la variedad de elementos de datos que son objeto de tratamiento. Para establecer baremos o cifras al respecto, podemos acudir a la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos, en cuyo anexo III, establece los siguientes baremos:
- Menos de 100 registros (1)
- Más 1.000 (2) (hay una errata, debería ser más de 100)
- Entre 1.000 y 100.000 (3)
- Más de 100.000 (4)
- Más de 1.000.000 (5)
Fórmulas de cálculo
Una vez hemos puesto cifras a los cuatro aspectos a analizar para determinar si un tratamiento es a gran escala, debemos establecer fórmulas de cálculo.
Para ello. asignamos números crecientes a cada baremo; y, sabiendo que la sumatoria máxima de los cuatro aspectos es 15, podemos establecer, orientativamente, que un tratamiento es de gran escala, cuando la sumatoria sea igual o superior a 9.
Veamos un ejemplo para entender este sistema de cálculo.
- El número de sujetos afectados es de 120.000 personas
- El tratamiento será de meses.
- El tratamiento tendrá una extensión geográfica nacional
- Los datos afectados son 50.000 (registros)
Esta es una manera orientativa de establecer cuantitativamente el concepto de gran escala, pero nada impide que se puedan escoger otras fórmulas matemáticas.
