¡Comparte en redes sociales!

¿Qué es el tratamiento de datos a gran escala?

Para definir un concepto tan difuso y poco concreto como el de “gran escala”, presente en el RGPD, en los supuestos de designación obligatoria de Delegados de Protección de Datos, o en los supuestos de necesidad de realizar una Evaluación de Impacto de Privacidad, tenemos que acudir a las “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de trabajo sobre protección de datos del artículo 29, donde hace una aproximación a dicho concepto.

Analizar si un tratamiento es a gran escala

Además de poner ejemplos, se menciona que, para determinar por parte de un responsable o encargado del tratamiento cuándo se está en presencia de un tratamiento “a gran escala” deben tenerse en cuenta los siguientes aspectos:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento
  • La duración o permanencia de la actividad de tratamiento de datos
  • El alcance geográfico de la actividad de tratamiento.

Que Es El Tratamiento De Datos A Gran Escala

Análisis de riesgos en los tratamientos de datos personales sujetos a RGPD

Una vez que tenemos claro los aspectos que debemos evaluar para saber si estamos en presencia de un tratamiento a gran escala, debemos cifrar, o poner en claro, los baremos de cantidad para cada uno de los aspectos a evaluar. Para ello, (a falta de regulación legal) podemos acudir a la “Guía práctica de Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD” de la Agencia Española de Protección de Datos, en cuyo anexo I (Plantilla de análisis de la necesidad de la realización de una EIPD) se establecen los siguientes:

  1. El número de sujetos afectados (es decir, cuántos interesados van a ser objeto de este tratamiento) 
  • De 0 a 10.000 (1)
  • De 10.000 a 100.000 (2)
  • + de 100.000 (3)
  1. La duración del tratamiento 
  • Instantáneo (1)
  • Días (2)
  • Semanas (3)
  • Meses (4)
  1. La extensión geográfica del tratamiento 
  • Tratamiento a nivel regional (1)
  • Nacional (2) 
  • Internacional (3)

Guía para la gestión y notificación de brechas de seguridad

No obstante, dicha plantilla ofrece solución a tres de los cuatro aspectos a analizar para verificar si un tratamiento es a gran escala o no.

La cuarta se refiere al volumen de datos o la variedad de elementos de datos que son objeto de tratamiento. Para establecer baremos o cifras al respecto, podemos acudir a la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos, en cuyo anexo III, establece los siguientes baremos:

  • Menos de 100 registros (1)
  • Más 1.000 (2) (hay una errata, debería ser más de 100)
  • Entre 1.000 y 100.000 (3) 
  • Más de 100.000 (4) 
  • Más de 1.000.000 (5)

Fórmulas de cálculo

Una vez hemos puesto cifras a los cuatro aspectos a analizar para determinar si un tratamiento es a gran escala, debemos establecer fórmulas de cálculo.

Para ello. asignamos números crecientes a cada baremo; y, sabiendo que la sumatoria máxima de los cuatro aspectos es 15, podemos establecer, orientativamente, que un tratamiento es de gran escala, cuando la sumatoria sea igual o superior a 9. 

Veamos un ejemplo para entender este sistema de cálculo.

  1. El número de sujetos afectados es de 120.000 personas
  2. El tratamiento será de meses.
  3. El tratamiento tendrá una extensión geográfica nacional
  4. Los datos afectados son 50.000 (registros)
Tratamiento De Datos A Gran Escala

Esta es una manera orientativa de establecer cuantitativamente el concepto de gran escala, pero nada impide que se puedan escoger otras fórmulas matemáticas.

Avatar Of Elías Vallejo

Consultor Senior en Protección de datos y Compliance Penal.

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Leave a Comment