Los colegios profesionales son corporaciones de derecho público, dotadas de personalidad jurídica propia y con plena capacidad de obrar para el cumplimiento de sus finalidades, sin perjuicio de que puedan ejercer actividades y prestar servicios a los colegiados en régimen de derecho privado.
Esta doble vertiente en cuanto a su naturaleza jurídica comporta obligaciones específicas de cumplimiento de la Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales que afecta a los Colegios Profesionales y que podemos resumir en las siguientes:
- Se debe crear un Registro de Actividades de Tratamiento y publicarlo en el portal de transparencia cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. El registro de actividades debe incluir la estructura de datos tratados, finalidades y legitimación del tratamiento, cesiones, etc.
- Se debe designar un Delegado de Protección de Datos (DPO), figura especializada en derecho con facultades de supervisión y asesoramiento. Cabe externalizar el desempeño a una tercera persona física o jurídica y debe comunicarse a la Agencia de Protección de Datos que corresponda.
Además de las anteriores, las obligaciones de cumplimiento normativo son las siguientes con carácter general:
- Se deben regular las relaciones jurídicas con terceros como prestadores de servicios con acceso a datos (Encargados de Tratamiento) mediante contratos o ante cesiones de datos en el ámbito de la colaboración y gestión de potestades de derecho público (ej, convenios u otros instrumentos jurídicos).
- Además, deben cumplirse otros principios como informar ante la recogida y tratamiento de datos; adoptar medidas de seguridad y desplegar políticas de privacidad basadas en un análisis de riesgos, atender el ejercicio de derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, entre otros, y realizar evaluaciones de impacto en situaciones de alto riesgo o supuestos regulados o recomendados por la Doctrina de las Agencias.
En conclusión, además de las obligaciones generales en materia de protección de datos, existen obligaciones específicas que deben cumplir los Colegios Profesionales como designar un Delegado de Protección de Datos y crear y publicar un Registro de Actividades de Tratamiento de datos que como mínimo, incluya aquellas actividades relacionadas con el ejercicio de potestades de derecho público, si bien resulta recomendable en aras a demostrar cumplimiento en la materia, que dicho registro abarque todos los tratamientos de datos personales de la organización.
