Dictamen en relació amb la consulta formulada per un Ajuntament, sobre l’obligació de nomenar un delegat de protecció de dades en una societat mercantil limitada, que gestiona el servei d’una residència i centre de dia municipal.

La informació disponible no permet determinar amb precisió si podrien concórrer els elements previstos a l’article 37.1 de l’RGPD, o a l’article 34.1 LOPDGDD, que comporten l’obligatorietat del nomenament d’un DPD. En principi no sembla que hagi de concórrer l’obligatorietat del nomenament d’un DPD en base a les previsions de l’article 37.1, apartats a) i b). Pel que fa a la concurrència del supòsit previst a l’article 37.1.c) RGPD, l’exigència del nomenament del DPD vindria fonamentada, si escau, en el tractament de dades de categories especials (art. 9.1 RGPD), sempre que aquest tractament es dugui a terme com a part de l’activitat principal de la societat mercantil, i a gran escala. Si l’entitat mercantil o bé no tracta dades de categories especials (art. 9.1 RGPD), o no les tracta en els termes que preveu l’article 37.1.c) RGPD, tampoc no sembla que resulti obligatori el nomenament d’un DPD en aquest cas. Qüestió diferent és que es pugui nomenar un DPD com a bona pràctica, com apunta el Grup de Treball de l’Article 29 en les Directrius sobre el DPD, en atenció al tractament que s’hagi de dur a terme.