EL REGISTRO DE ACTIVIDADES I
CÓMO ELABORAR EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO
El Registro de Actividades de Tratamiento es una “novedad” que – como vemos – es una especie de “mezcla” de:
Por un lado el inventario de ficheros que hasta ahora se inscribían en la AEPD, pero con unas peculiaridades:
a) Lo que se inventaría son tratamientos y no ficheros.
b) Que no hay que inscribir los ficheros,o los tratamientos en este caso, sino que hay que tenerlos inventariados internamente.
c) Se debe de consignar la información que indica el artículo 30 del RGPD, que no coincide toda con la que exigía la LOPD para la inscripción de ficheros.
Y por otro lado hay que añadir una descripción de las medidas de seguridad. Y aquí es donde enlaza con lo que era el antiguo documento de seguridad.
A lo largo de dos artículos trataremos cómo elaborar el Registro de Actividades de Tratamiento.
1. IDENTIFICACIÓN Y CLASIFICACIÓN DEL TRATAMIENTO DE DATOS
1.1. INTRODUCCIÓN
A partir del nuevo Reglamento de Protección de Datos, RGPD, los tratamientos adoptan la relevancia que les corresponde respecto a la protección de los derechos y libertades de las personas. De alguna manera el nuevo instrumento jurídico europeo ha desplazado el centro de gravedad desde los ficheros hacia los tratamientos aplicados sobre esa tipología de datos. En otras palabras, traslada el centro de gravedad desde el Dato Personal al uso que se realiza del Dato Personal (a para qué y cómo se utiliza).
Ya el título del nuevo Reglamento de Protección de Datos, frente a la LOPD, es una clara declaración de intenciones:
- LOPD: Ley Orgánica 15/1999 de Protección de Datos Personales.
- RGPD: Reglamento sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Mientras que la LOPD denota un sentido estático del Dato (centrado en ficheros), el RGPD adopta un sentido dinámico (centrado en tratamientos y la libre circulación de los datos tratados). Esta apreciación os aseguro que no es baladí.
En cierto modo es una consecuencia lógica en la era del Big Data, donde la aplicación de tratamientos constituidos por técnicas analíticas a grandes volúmenes de información desestructurada, permite inferir conocimiento. Algunas veces incluso combinando fuentes que por separado podríamos llegar a considerar anonimizadas. En consecuencia, ese conocimiento se infiere debido a los tratamientos y no a los propios datos en sí mismos.
Este planteamiento lo corrobora el hecho de que ya no sea necesario publicitar los ficheros en el correspondiente registro general de la Autoridad de Control competente, debiendo no obstante llevarse (con las excepciones que finalmente se determinen) un registro “Registro de categorías de actividades de tratamiento de datos personales”.
1.2. EL CONCEPTO DE TRATAMIENTO
Mucho se ha escrito en las diferentes normas jurídicas relacionadas con la privacidad sobre la definición de tratamiento:
Según el RGPD “«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”;
Según la LOPD: “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
Según el RD 1720/2007: “Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
Guías de la extinta APDCM[1]: “No basta, sin embargo, la realización de una de estas actuaciones en relación con datos personales para que la LOPD despliegue sus efectos protectores y sus garantías, ni tampoco para que pueda hablarse de derechos del afectado. Es preciso algo más, que las actuaciones de recogida, grabación, conservación, etcétera, se realicen de forma automatizada, o bien, si se realizan de forma manual, que los datos personales se almacenen en un fichero.”
Ejemplos:
- La recogida de los impresos de solicitud de matrícula en un centro de enseñanza.
- La grabación en una aplicación informática (fichero) de la cita concertada por un padre de alumno para entrevistarse con su tutor.
- La obtención de nuevos datos a partir de la información recabada (la calificación académica de un alumno).
- La actualización de la información existente en un fichero a partir de los nuevos datos recabados o de los obtenidos en un proceso de elaboración, como puede ocurrir con la actualización del Padrón Municipal de Habitantes.
- La eliminación de los datos existentes en un fichero.
- La mera consulta de los datos de un fichero.
- Facilitar el acceso a los datos de una persona por parte de un tercero, mediante cualquier tipo de comunicación, consulta, interconexión o transferencia (envío a una agencia de viajes de los datos de un grupo de alumnos para la organización de una excursión o actividad extraescolar).
Es importante diferenciar los conceptos ‘fichero’ y ‘tratamiento’:
- El fichero es cualquier soporte, ya sea informático o manual (en este caso siempre y cuando esté estructurado), que permita el almacenamiento de datos personales de personas físicas y su posterior tratamiento.
- Por su parte, el tratamiento comporta posibilidades de reelaboración, de modificación de los datos y de intercambio. Asimismo, mientras que el fichero únicamente permite ordenar y facilitar el acceso y localización de información, el tratamiento, a la posibilidad de interconexión de datos, añade la obtención de resultados y la reelaboración de los mismos.
A esta definición de “fichero físico” que hacía la APDCM, nosotros agregamos la de “fichero lógico o jurídico” (como se prefiera).
Un “fichero jurídico” es aquel que se publicitaba en el Registro General de Protección de Datos (RGPD) de la AEPD, si era de titularidad privada, o de la Agencia Autonómica correspondiente, de haberla competente, si era de titularidad pública.
Normalmente, por agilidad de inscripción, practicidad, y en base al principio de proporcionalidad, era la agrupación lógica de múltiples ficheros físicos relacionados entre sí.
1.3. SIGUE HABIENDO VIDA MÁS ALLÁ DE LOS TRATAMIENTOS
El contenido esencial del derecho fundamental a la protección de datos está basado en un conjunto de normas (principios y reglas) de obligado cumplimiento para el que trata la información y que van dirigidas a proteger el dato personal considerado en sí mismo, a la vez que se limitan los tratamientos a que pueda ser sometido. Para ello se definen un conjunto de medidas preventivas de defensa, tanto jurídicas como organizativas y técnicas, que protejan a la información desde el mismo momento que se recaba, y a los tratamientos que se le aplican, durante todo su ciclo de vida.
En base a esta idea, no se puede prescindir ni del uno, ni del otro. No se trata de buscar la esencia del fichero o del tratamiento, ya que ambos siempre han existido y existirán. Nada cambia respecto a ellos. Únicamente el fichero cede protagonismo al tratamiento, pero no implica que éste deba ser ninguneado.
1.4. CONCLUSIONES
- Se mantiene el concepto de fichero “jurídico” o conjunto de datos personales.
Un ejemplo sería el del conjunto de Datos Personales (antiguo fichero jurídico) de “EMPLEADOS”.
- Cobra relevancia el concepto de TRATAMIENTO.
El tratamiento se identifica claramente con una acción, con un verbo de “alto nivel”. Decimos esto porque las operaciones también son un verbo, pero con mayor grado de detalle
De cada conjunto de datos personales se realizarán tratamientos.
Por ejemplo: elaboración de las nóminas (que se extrae del conjunto de datos personales “empleados”.
Aunque es posible incluso que se realicen tratamientos a partir de varios conjuntos de datos personales.
Por ejemplo: elaboración de la contabilidad, que se extrae tanto de clientes como de proveedores.
NOTA: Sobre estos dos niveles podemos aplicar los controles relativos a los principios y obligaciones “jurídicos” (o sea las medidas técnicas y organizativas). Es decir, aquí no aplica las medidas técnicas y organizativas pues la seguridad la analizaremos sobre los repositorios y archivos.
Pero para no “estar destajando” en cada caso se podría abstraer y elegir el nivel sobre el que aplicarlo (fichero o tratamiento), puesto que, por ejemplo, yo puedo analizar el cumplimiento del derecho de información sobre el conjunto de datos de empleados o bien puedo querer granular más y decidir analizar este derecho sobre el tratamiento concreto control horario.
- Para realizar dichos tratamientos se realizan OPERACIONES (el RGPD define un tratamiento como “una operación o conjunto de operaciones […]”).
Por ejemplo, si tengo que hacer la elaboración de nóminas (que están externalizadas):
– Se utiliza una aplicación automatizada: (por ejemplo, nominaplus).
– Un empleado toma de la impresora el conjunto de hojas de nómina, las verifica y las empaqueta.
– Y son trasladadas mediante servicio de mensajería a la empresa cliente.
Este nivel de detalle no pensamos que deba de ser obligatorio documentarlo. Simplemente debe de existir la posibilidad con un campo de texto libre por si alguien quiere describir las operaciones que se realizan.
- Pero después tendremos que bajar un peldaño más, como hacemos ahora, o ver la forma en que se “trata” físicamente dicha información de forma automatizada o no. Se trata de la capa de las bases de datos (o carpetas con ficheros en discos duros) o los ficheros en papel. Es lo que ahora se conoce como ficheros físicos automatizados y no automatizados, pero que pasamos a denominar REPOSITORIOS AUTOMATIZADOS Y ARCHIVOS EN PAPEL.
Por ejemplo, la elaboración de nóminas se hace con una aplicación que es nominaplus; esa aplicación accede a la información contenida en una base de datos, que podemos denominar “Base de Datos NOMINAPLUS”. Por su parte la formación de los empleados se documenta en un archivo en papel que denominamos el “Archivo de Personal”.
Sobre este nivel era sobre el que analizábamos el cumplimiento de las medidas de seguridad tanto técnicas como organizativas, y, salvo que en un futuro la Agencia publique nuevas instrucciones, seguiremos haciendo de forma idéntica.
EJEMPLO COMPLETO
- CONJUNTO DE DATOS PERSONALES (fichero jurídico): EMPLEADOS
- TRATAMIENTO: ELABORACIÓN DE NÓMINAS
- OPERACIONES:
– Mecanización en aplicación Nominaplus
– Ensobrado
– Envío
- REPOSITORIOS Y ARCHIVOS
– REPOSITORIOS AUTOMATIZADOS: Base de Datos NOMINAPLUS
– ARCHIVOS EN PAPEL: Archivo de Personal
[1] Fuente: Guía de protección de datos personales para Universidades,Páginas 434 a 435 Agencia de Protección de Datos de la Comunidad de Madrid. Edición: abril de 2008, ISBN: 978-84-935457-4-1.
Eduard Chaveli Donet.
IT Lawyer and CEO at GOVERTIS
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
SI UNA SOCIEDAD QUE SE DEDICA A LA FINANCIACION DE DINERO, Y A SUS CLIENTES SE LES HACE UN ESTUDIO PARA SABER SI SE LES ACEPTA EL CREDITO.
LA HOJA POR ESCRITO QUE TE FIRMA EL CLIENTE DONDE ACEPTA QUE SUS DATOS SE LES CEDA A UN TERCERO EN ESTE CASO A BANCOS PARA EL ESTUDIO DE SUS CREDITOS . CAMBIA ALGO EN ESA CARTA QUE HACEMOS PARA PODER SU CONSENTIMIENTO CON EL ESTUDIO
Andrés, el contenido de la información que se le ha de facilitar al interesado cambia, pues el RGPD introduce nuevas obligaciones, que recoge en artículo 13 y 14