REGISTRO DE ACTIVIDADES II

CÓMO ELABORAR EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO II

 

Eduard Chaveli Donet. RAT_c

IT Lawyer and CEO at GOVERTIS

@eduardchaveli

 

 

 

 

 2. ¿QUIÉN TIENE QUE LLEVAR EL REGISTRO DE ACTIVIDADES?

El Registro de Actividades de Tratamiento lo deberán llevar a cabo cada responsable y encargados y, en su caso, sus representantes.

Pero el artículo 30.5. del RGPD exceptúa de dicha obligación en el siguiente supuesto:

“Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.”

El problema es que la excepción de la excepción que vemos contempla el citado artículo supondrá en la realidad que muchas organizaciones que “en principio” parecieran estar exentas del citado registro, en la práctica sí que deban de contar con él.

RAT-A

3. CONTENIDO DEL REGISTRO DE ACTIVIDADES DE TRATAMIENTO

La AEPD en su guía sobre el RGPD cuando indica ¿Cómo articular el Registro de Actividades de Tratamiento?  dispone lo siguiente:

1º Partir de los ficheros que actualmente tienen inscritos en el Registro General de Protección de Datos (RGPD), detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.

RAT-B

RAT -V

2º Desgajar las operaciones de tratamiento concretas vinculándose a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.

RAT -E

El contenido del registro viene establecido en el artículo 30 del RGPD que dispone lo siguiente, en función de si es el registro del responsable o el del encargado:

 

RAT-p

RAT-J

Particular énfasis hay que realizar en que las medidas de seguridad ya no serán “automáticamente” una relación (como sucedía hasta ahora con el RD 1720/2007) sino que dependerán del análisis de riesgos que se realice.

Asimismo puntualiza varios aspectos más el citado artículo 30:

  • Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
  • El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

Quizá una forma lógica de “ordenarlo” (el del responsable) y además de verlo en relación con la información que se disponía en el programa NOTA es la siguiente:

  1. NOMBRE DEL TRATAMIENTO
  2. CONJUNTO DE DATOS AL QUE ESTÁ VINCULADO (FICHERO)
  3. DATOS DE CONTACTO.
  4. FINALIDAD DEL TRATAMIENTO Y CAUSA DE LICITUD
  5. CATEGORÍAS DE INTERESADOS

(Hasta ahora en el NOTA ORIGEN Y PROCEDENCIA DE LOS DATOS)

  1. CATEGORÍAS DE DATOS PERSONALES

6 .1. TRATAMIENTO DE DATOS PERSONALES QUE NO CONSTITUYAN CATEGORÍAS ESPECIALES

6.2.  TRATAMIENTO DE CATEGORIAS ESPECIALES DE DATOS PERSONALES

6.3. DATOS DE CONDENAS Y DELITOS

  1. CATEGORÍAS DE DESTINATARIOS A QUIENES SE HAN COMUNICADO O VAN A COMUNICARSE LOS DATOS PERSONALES (en particular los destinatarios de terceros países, cuando no sean TID)

7.1. CESIONES (indicando si hay movimiento o TID)

7.2. ENCARGADOS DEL TRATAMIENTO (indicando si hay movimiento o TID)

  1. CATEGORÍAS DE TRANSFERENCIAS DE DATOS PERSONALES A UN TERCER PAÍS [TID] O A UNA ORGANIZACIÓN INTERNACIONAL [BINDING CORPORATE RULES] incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas
  2. LOS PLAZOS PREVISTOS PARA LA SUPRESIÓN DE LAS DIFERENTES CATEGORÍAS DE DATOS (CUANDO SEA POSIBLE) SEGÚN CADA FINALIDAD
  3. UNA DESCRIPCIÓN GENERAL DE LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD (CUANDO SEA POSIBLE)

Sólo un listado a modo de índice o descripción general con remisión a los concretos procedimientos que son los que tendrán el detalle.

 El Proyecto de LOPD indica:

“Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro”.

RAT - D

 4. REGISTRO DE ACTIVIDADES/DOCUMENTO DE SEGURIDAD

 El documento de seguridad como se concebía hasta ahora desaparece. No obstante, sí que persiste la necesidad de documentar la seguridad puesto que la documentación (la existencia de políticas, procedimientos, registros etc.) van implícitos a la seguridad.

La AEPD ha dicho que ello puede integrarse en el registro de actividades de tratamiento; en la forma en que hemos indicado.

 5. PECULIARIEDADES EN EL SECTOR PÚBLICO.

Hay que tener en cuenta que el artículo 31 del PLOPD añade:        PLOPD

  1. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal.

 Los citados sujetos son los siguientes:

  1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

Precisiones:

  1. Esta obligación de transparencia que en principio sólo se prevé para estas organizaciones quizá pueda considerarse una buena práctica en el sector privado.

 

  1. Publicar este registro, todo – tal cual -, es una barbaridad si se concretan las medidas de seguridad y no es sólo una relación de procedimientos (sin más detalle). El tema no sólo es acotar qué es una descripción general como dice el artículo 30 RGPD sino cual de esa información se puede publicar; Y es importante tener en cuenta a la hora de adoptar esta medida que hay que respetar también otros derechos y obligaciones como límites, entre ellos la seguridad. Por tanto  no habrá que facilitar información que comprometa la seguridad de la organización.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *