Registro actividades

Regulado en el artículo 30 del RGPD, el registro de actividades de tratamiento se trata de un listado cualitativo interno que debe confeccionar cada entidad que lleve a cabo tratamientos de datos de carácter personal. Este registro viene a sustituir a la obligación de inscripción de ficheros en el Registro General de la Agencia Española de Protección de Datos, debiendo contener los siguientes extremos:

  • Nombre y datos básicos de contacto del responsable, corresponsable y representante del responsable (en su caso), además de contener los relativos al Delegado de Protección de Datos (en caso de haberse nombrado).
  • Finalidades detalladas de cada tratamiento de datos.
  • Descripción concreta de las categorías de interesados y categorías de datos personales de cada tratamiento, así como las categorías de destinatarios a quienes se puedan comunicar los datos (en caso de posibles cesiones o transferencias internacionales, en cuyo caso se debe reflejar la existencia de estos extremos, cono la precisión de la entidad y/o país concreto).

Además, siempre que sea posible, se debe incorporar una referencia a los plazos previstos para la supresión de los datos personales manejados, así como las medidas de seguridad y salvaguarda implementadas para proteger la seguridad de la información.

Ciclos de actividades

De acuerdo con el principio de proactividad, todos los responsables y encargados de tratamiento deben llevar a cabo el registro del ciclo de actividades de tratamiento de los datos personales que maneje su entidad.

En este registro se debe documentar, de manera concreta, las diferentes fases por las que transcurren los datos personales, desde el momento en el que se recaban hasta el momento en el que se suprimen definitivamente. Así, se debe documentar el modo el en que se capturan los datos; la clasificación de los mismos; el método de almacenamiento; las partes implicadas en el tratamiento de dichos datos (desde equipos informáticos hasta el personal concreto con acceso a los datos, pasando por la categoría concreta de interesados); el uso o tratamiento concreto que se le dará a los datos; la previsión de cesiones y de la entidad a la que se podrían ceder los datos; y, finalmente, los plazos de conservación y la manera de destrucción de dichos datos.

Cláusulas

Uno de los deberes fundamentales que recaen, esencialmente sobre el responsable de los tratamientos, es el deber de información y trasparencia. Ello tiene que ver con informar a todos los interesados de cual va a ser la metodología de los tratamientos, así como los derechos que le asisten y ante quien puede ejercitarlos. Por esta razón es por la que se deben incorporar cláusulas y textos legales tendentes a hacer efectivo dicho deber información, tales como el cartel informativo, la información por capas o la política de privacidad de una página web.

Asimismo, en aquellos tratamientos en los que su base de legitimación sea el consentimiento, también se deben incorporar cláusulas y textos legales tendentes a documentar el consentimiento expreso e inequívoco del interesado, así como cualquier otra autorización que se deba prestar de modo expreso y deba quedar documentada.

Análisis de riesgo y evaluación impacto.

De acuerdo con lo dispuesto en el artículo 35 del RGPD, antes de llevar a cabo el tratamiento y en el momento en el que existan probabilidades de que un tipo de tratamiento concreto pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas afectadas por el mismo, recae sobre el responsable del tratamiento concreto la obligación de confeccionar una Evaluación de Impacto (EIPD) para determinar la viabilidad del tratamiento.

En una fase inicial de esta evaluación se debe confeccionar el análisis de riesgos en sentido general de la entidad, en la que se evalúen todas las contingencias y riesgos que vayan asociados a la actividad de la que se tienen claras sospechas sobre su viabilidad. De esta manera, una vez se localicen los riesgos, deben ser tratados y gestionados de acuerdo con la asignación de niveles de probabilidad y medidas de seguridad implementadas.

Una vez realizado esto, se debe poner en comparación la probabilidad de materialización de los riesgos junto con el impacto que conllevaría que se produjesen de cara a determinar el impacto final sobre los derechos y libertades del interesado. En caso de que arroje un impacto aceptable, se podrá llevar a cabo el tratamiento pero, en caso contrario, se deberá plantear una consulta previa y abstenerse de realizar el tratamiento hasta que no tengamos pronunciamiento de la AEPD.

Medidas de seguridad

Una proyección evidente del principio de proactividad son las medidas de seguridad y salvaguarda de la información. Así, con el RGPD en aplicación, no existe un cuadro cerrado de medidas de seguridad a aplicar (como sí existía con la anterior normativa). Simplemente se exige al Responsable de los tratamientos que incorpore todas las medidas técnicas y organizativas necesarias para cumplir con las disposiciones de lo dispuesto en el Reglamento.

Estas medidas de seguridad deben contemplarse con carácter concreto, estudiando cada tratamiento y el contexto de la actividad en la que se encuentra enmarcado, pues la incorporación de una medida de salvaguarda que no guarde relación alguna con la seguridad concreta de un tratamiento no garantiza la salvaguarda de los derechos y libertades de los interesados.

La efectividad de las medidas de seguridad requiere un estudio de las necesidades de la entidad y el impacto que los riesgos existentes en la misma podría suponer para las personas físicas.

Auditoría

Una vez implementada una adecuada política de privacidad en la entidad concreta, el responsable debe controlar que se cumplen todas las medidas de seguridad incorporadas y que se llevan a cabo correctamente todos los protocolos de cumplimiento diseñados al efecto. De esta manera, para comprobar que todo se está realizando de conformidad con la normativa de aplicación, se deben realizar controles con carácter periódico; es decir, auditorías.

El contenido de las auditorías debe ser de corte amplio, abarcando todos aquellos aspectos susceptibles de ser comprobados, como pueden ser: respeto de los principios de transparencia, proporcionalidad y claridad; respeto por los derechos de los interesados; cumplimiento de las medidas de seguridad diseñadas; uso de los procedimientos de comunicación de brechas de seguridad en la información; cumplimiento del modo de recabar el consentimiento en tanto que expreso, sencillo e inequívoco, etc.

Este procedimiento de auditoría se debe realizar, como ya se ha indicado, con carácter periódico, debiendo documentarse en todo momento el procedimiento que se está siguiendo. El resultado deberá ser la proporción o grado de cumplimiento normativo que arroja la entidad responsable de los tratamientos.