Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Para ser proactivo con la privacidad, elabora tu registro de actividades

Fecha de publicación 06/06/2019
Autor
INCIBE (INCIBE)
Para ser proactivo con la privacidad, elabora tu registro de actividades

Ya ha pasado un año desde que el Reglamento General de Protección de Datos se convirtió en un elemento fundamental para cualquier organización. En Internet, la privacidad y el control sobre los datos personales se ha convertido en una prioridad para todos los que en ella compran y venden o se relacionan con la Administración y, por este motivo, la Unión Europea elaboró este reglamento, donde se establecieron las bases de un marco regulatorio común para todo el territorio europeo. 

Desde entonces, las empresas han tenido que ir evaluando su situación en materia de tratamiento de datos y adecuándose al reglamento, que entró en vigor en mayo de 2016, siendo de aplicación efectiva desde mayo de 2018. El pasado 5 de diciembre entró en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) que adapta el derecho español al modelo establecido por el RGPD.

Con esta nueva legislación se suprime la obligación de notificar los ficheros de datos de carácter personal a la autoridad de control. En su lugar, cada responsable o en su caso el encargado según el RGPD, deben llevar un registro de actividades de tratamiento, tal y como exponemos en nuestra guía «Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario». 

En particular, están obligadas a mantener un Registro de Actividades de tratamiento aquellas empresas con más de 250 trabajadores o aquellas que realicen tratamientos de datos personales de forma no ocasional o que trabajen con datos, especialmente, sensibles.

¿Qué es el Registro de actividades?

Para poder cumplir con la antigua LOPD, las empresas tenían que inscribir un fichero en la Agencia Española de Protección de Datos, que notificaba que la empresa en cuestión realizaba un tratamiento de datos.  Este fichero puede servir de base para iniciar el registro de actividades de tratamiento, por eso la AEPD facilita su descarga hasta ahora. No obstante, el pasado 21 de mayo de 2019, la Agencia Española de Protección de Datos emitió un comunicado que indicaba lo siguiente:

Así pues, tras un período en el que los responsables del tratamiento han tenido disponibles los ficheros que habían inscrito, llega el momento en que dejarán de estarlo. 

Con o sin el anterior fichero, cada organización debe llevar su propio Registro de Actividades de Tratamiento, como parte de las medidas de responsabilidad activa que según el artículo 30.1 del RGPD deberá contener:

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de Protección de Datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Estas son algunas herramientas que pueden ayudarte a realizarlo:

  • En el anexo 4 y 5 de la Guía de la AEPD puedes encontrar plantillas para elaborar este Registro. 
  • La herramienta FACILITA, también de la AEPD, que es útil para el cumplimiento si tu empresa realiza tratamientos que no sean de alto riesgo o masivos, genera, entre otros documentos, un registro de actividades del tratamiento. 
  • Utiliza la aplicación que ha desarrollado la Autoridad Catalana de Protección de Datos para gestionar el registro de actividades de tratamiento. 

Por otra parte, le corresponderá a cada organización, de acuerdo al principio de responsabilidad proactiva (Accountability) que rige el RGPD, decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad.

¿Qué es el principio de responsabilidad proactiva (accountability)?

Se trata de un concepto asociado a la rendición de cuentas, la accountability, que, aunque no tiene una traducción precisa, se utiliza como sinónimo de responsabilidad, de dar cuentas, de responder o dar cumplimiento de algo, pero, con una actitud proactiva. 

En materia de protección de datos, este principio alude, tal y como señala la AEPD, a la responsabilidad de las compañías a la hora de implantar medidas orientadas a garantizar el cumplimiento de los principios y obligaciones en materia de protección de datos. Además deberán establecer los mecanismos internos o externos que sean necesarios de cara a evaluar su fiabilidad y así demostrar su efectividad. 

Por lo tanto, desde el punto de vista de la privacidad, las organizaciones deberán implementar una cultura de respeto, unida a las medidas que sean necesarias para garantizar la preservación de los principios y obligaciones que de este concepto se derivan. 

De esta forma, las empresas son responsables de cualquier tratamiento de datos que realicen, ya sea directamente, o a través de un tercero. El responsable del tratamiento deberá ser capaz de implementar las medidas de seguridad necesarias para preservar la privacidad de los datos, así como evaluar su funcionamiento. 

Cumplir con el principio de responsabilidad proactiva podría implicar la reducción del riesgo de sanciones en caso de sufrir algún tipo de incidente de seguridad que afectase a los datos personales gestionados: por ejemplo, si cuando sufres una fuga de datos las contraseñas, datos personales, etc., están cifrados y almacenados de forma segura. 

El desarrollo de las nuevas tecnologías, unido a una globalización de la sociedad y la interconectividad, han llevado a una proliferación de la información personal, multiplicando los riesgos asociados a su pérdida o manipulación. Con el RGPD, la UE ha establecido un marco normativo regulatorio que vela por el derecho de las personas a mantener la privacidad e integridad de sus datos personales, obligando a las empresas a protegerlos. Las empresas tendremos que cumplir con el principio de responsabilidad proactiva. Por ello, con el registro de actividades de tratamiento habremos dado el primer paso.