El registro de actividades de tratamiento se enmarca dentro de las novedades del RGPD (Reglamento General de Protección de Datos). Esta es la legislación encargada de velar por la protección de tus datos. En concreto, su cualidad o estado público.
En este contexto, Europa se ha involucrado en el asunto con una nueva directiva. La normativa europea abriga una serie de cambios que afectan a la protección de datos de carácter personal.
¿A quién se aplica el nuevo RGPD? A los responsables o encargados del tratamiento. ¿Por qué? Hasta ahora, las empresas podrían estar manejando datos de países europeos.
No obstante, dichas compañías se regían por la legislación de otras regiones o países, que no brindaban el mismo nivel de protección que la legislación europea.
Una nueva LOPD aplicable a la protección de datos partir de mayo de 2018
Aunque ya está activa, la nueva Ley Orgánica de Protección de Datos (LOPD), que introduce los cambios indicados por la UE, será de obligado cumplimiento a partir de mayo de este año.
Esta legislación nace con vocación de otorgarnos más poder a los ciudadanossobre nuestros datos personales. Así, si publicas en redes sociales, utilizas un smartphone o eres asiduo de la banca online, entre otros supuestos, podrás decidir qué información quieres que se haga pública y cuál no.
A pesar de que se trata de una normativa que se enraíza en la Unión Europea, cada país ha de designar el organismo competente para su implantación. En el caso de España, es la Agencia Española de Protección de Datos.
La normativa no sustituye a la anterior LOPD, sino que introduce algunos matices, como la necesidad de elaborar un fichero en el que introduzcas una serie de datos.
¿Cómo acometer tu registro de actividades de tratamiento?
Si eres empresario, como sabes, tienes la obligación de contar con un archivo en el que desgranes:
– Los datos que contiene.
– Con qué finalidad.
– ¿Qué medidas de seguridad aplicas?
– ¿Qué nivel de seguridad le otorgas?
– ¿De qué tipo es el fichero: manual, mixto o automatizado?
– ¿Los datos van a ser transferidos fuera del ámbito del Espacio Económico Europeo?
En este caso, el Reglamento General de Protección de Datos establece que, si eres el responsable del fichero, has de incorporarlo y hacerlo público a través de la web de la Agencia Española de Protección de Datos.
¿Cuál es el propósito? Otorgar más poder a las personas sobre nuestros datos. En concreto, sobre qué se está realizando con ellos cuando los comunicamos a una entidad tanto de índole pública como privada. Además, nos da los derechos de acceso, rectificación, cancelación y oposición.
Las novedades RGPD son clave
La normativa europea ha incluido estos cambios, dado que ha constatado que la obligación de comunicar a las autoridades correspondientes los datos personales no ayudó, en todos los casos, a garantizar la protección de datos.
En este sentido, el Reglamento General de Protección de Datos desempeña un papel relevante y establece dos principios, que has de cumplir si eres el responsable de elaborar el fichero correspondiente. Estos son:
Principio de responsabilidad proactiva
Se basa en que analices qué datos tratas, con qué finalidades lo haces y qué tipo de operaciones de tratamiento llevas a cabo. A partir de esta evaluación, has de valorar la forma en la que aplicarás, de manera explícita, las medidas que el RGPD prevé.
¿Por qué lo has de realizar de este modo? Te aseguras de que son los preceptos adecuados a cada caso y puedes demostrarlo ante las personas interesadas y autoridades que lo supervisan.
Este principio requiere, en resumen, una actitud por tu parte consciente, diligente y proactiva ante todos los tratamientos de datos de carácter personal que lleves a cabo.
El enfoque de riesgo
Si nos atenemos a lo que apunta el RGPD, las medidas encaminadas a asegurar su cumplimiento han de tener en cuenta una serie de aspectos del tratamiento:
– La naturaleza.
– El ámbito.
– El contexto.
– Los fines.
Conforme a este enfoque, algunas de las predisposiciones que el RGPD establece solo se aplicarán cuando exista un alto riesgo para los derechos y libertades de las personas. Otras medidas las tendrás que modular en función del nivel y tipo de riesgo que entrañen los tratamientos.
Por lo tanto, no es lo mismo una gran empresa que maneja datos sensibles que involucran información personal o volúmenes relevantes de información que una pequeña que utiliza pocos datos y que son de índole sensible.
¿Cuáles son los contenidos de un registro de actividades de tratamiento?
La obligación de realizar la correspondiente anotación te atañe tanto si te han nombrado responsable del fichero como encargado de tratamiento. Sin embargo, el contenido de tu registro diferirá si eres responsable de fichero o encargado de tratamiento.
¿Qué hacer si eres responsable de fichero?
La información que ha de contener tu fichero ha de ser la siguiente:
– ¿Cuáles son los datos de contacto, así como la identificación del responsable, corresponsable, representante y delegado de protección de datos?
– ¿Con qué fines realizas el tratamiento?
– ¿Cómo describes la categoría y los datos de las personas que inscribes en tu fichero?
– ¿Vas a realizar transferencias internacionales de datos? En el caso de ser así, ¿con qué garantías cuentas?
– ¿Cuáles son los plazos que tienes establecidos para la eliminación de los datos?
– ¿Qué medidas de seguridad vas a aplicar?
¿Cómo proceder si eres encargado de tratamiento?
Los datos que has de incluir en tu archivo son los que, a continuación, se nombran:
¿Cuáles son los datos de contacto y la identificación del encargado, así como de su responsable, del representante del encargado o del responsable y del delegado de protección de datos?
– ¿Cuáles son las categorías de tratamiento realizadas por el responsable?
– ¿Tienes pensado efectuar transferencias internacionales de datos? Si es así, ¿cómo lo justificas?
– Si es posible, ¿cuáles son las disposiciones de seguridad que vas a implantar?
Por tanto, a partir de mayo de este año, habrás de implantar un registro de actividades de tratamiento, indispensable para velar por el cumplimiento de los derechos y libertades de los ciudadanos respecto a sus datos de carácter personal. De este modo, velarás por la seguridad, la intimidad y el derecho al honor y a la propia imagen.
