Dubtes sobre si lletrats i metges han de tenir delegat de protecció de dades

L’entrada en vigor de la Llei de protecció de dades personals implica la instauració de la figura del delegat de protecció de dades, obligatori per a administracions públiques i parapúbliques i també per a empreses i organitzacions privades en alguns casos. L’Agència de Protecció de Dades (APDA) ha emès una instrucció per aclarir les “diverses consultes” que ha rebut sobre si metges i advocats n’han de tenir. Admet les dificultats d’interpretació de l’article 38.2 de la llei que ho regula, però també que el reglament de l’aplicació “tampoc no aporta llum sobre la interpretació de l’article 38.2 de la llei”. El que acaba concloent l’APDA és que “els professionals de la salut o advocats que treballin sols i els despatxos professionals de dos socis o menys en quedaran exempts, sempre que no es donin altres circumstàncies de l’article 38 com ara l’observació habitual i sistemàtica d’interessats”.

El que diu concretament l’article en qüestió és que l’obligatorietat de tenir un delegat de protecció de dades afecta empreses i organitzacions privades que siguin responsables de tractar de manera automatitzada dades de persones físiques que puguin tenir efectes jurídics, o bé que tractin a gran escala categories especials de dades o una quantitat considerable de dades que puguin afectar drets i llibertats de les persones interessades. Si bé l’APDA indica que tant despatxos d’advocats com professionals sanitaris tracten el que la llei estableix com a “categories especials de dades” –i que engloben des de les dades relatives a l’origen ètnic o les opinions polítiques o la salut, fins a aquelles que afecten condemnes o infraccions pe-nals–, la llei també estableix que ha de ser un tractament a “gran escala”.

El que diu la normativa és que a “gran escala” es defineix pel nombre de persones afectades, pel volum i la varietat de dades tractades, la durada o la permanència de l’activitat de tractament i l’extensió geogràfica de l’activitat de tractament. I sosté que el maneig de dades de més de 5.000 afectats ja és tractament a gran escala. La regulació a escala europea, però, és més precisa i indica que “el tractament de dades personals no s’ha de considerar a gran escala si ho fa, respecte de dades personals de pacients o clients, un sol metge, un altre professional de la salut o advocat”. És a partir d’aquí que l’APDA ha conclòs l’exempció per a professionals que treballin sols o aquells despatxos de dos socis o menys.