El pasado 21 de noviembre de 2018 el Senado aprobó la nueva Ley Orgánica de Protección de Datos Personales y Garantías de Derechos Digitales (LOPDyGDD), que complementa la actual normativa europea en la materia (Reglamento (UE) 2016/697 General de Protección de Datos, RGPD) y deroga la anterior normativa nacional en materia de protección de datos (LOPD 15/1999 y Reglamento de desarrollo de la LOPD, RD 1720/2007).
Las modificaciones relevantes que incorpora se refieren, sobre todo, a la concreción de los supuestos en que es obligatoria la designación de delegados de protección de datos, la tipificación del régimen sancionador con inclusión de medidas correctivas, a los menores y a la educación digital, a los derechos de los fallecidos, al testamento digital y a los derechos digitales de última generación (como la actualización de informaciones en medios de comunicación digitales o el derecho al olvido en servicios de redes sociales y servicios equivalentes).
Así pues, y pendientes de su promulgación oficial, se han completado las más de 50 remisiones normativas que hacía el reglamento comunitario a los Estados miembros para que complementasen con su normativa nacional los preceptos europeos.
Ahora bien; ¿qué llevanza de registros es interesante tener en cuenta para cualquier entidad que lleva a cabo tratamientos de datos de carácter personal (ej.: gestión de nóminas de empleados; actualización de un listado de clientes; envíos o mailing a unos usuarios suscritos al boletín de noticias de la entidad; etc.)?
Señalamos tres tipos de registros, algunos obligatorios y otros potestativos: 1) Registro de Actividades de Tratamientos; 2) Registro de Reclamaciones; y 3) Registro de Brechas de Seguridad.
Registros obligatorios: el Registro de Actividades de Tratamiento.
El RGPD establece la obligación -para el responsable (art. 30.1) y el encargado de tratamiento (art. 30.2))- de mantener un registro de los tratamientos que se hagan de los datos de carácter personal (todo ello según las actividades a las que se asocien dichos datos), y especifica los datos que cada registro debe contener (señala la diferencia del contenido de la obligación, según sea un responsable o un encargado: identificación del responsable o del encargado, fines del tratamiento, categorías de destinatarios o de los tratamientos; plazos de supresión de los datos, transferencias internacionales de datos…).
La LOPDyGDD no añade nuevas prescripciones sobre el contenido de la obligación y modo de llevanza del Registro de Actividades de Tratamiento. Señala que "el registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento, y determina la obligación, "cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos" de "comunicarle cualquier adición, modificación o exclusión en el contenido del registro". Por tanto, será un aspecto significativo a tener en cuenta por el Delegado de Protección de Datos en el ámbito de su independencia.
No obstante, el propio RGPD establece una excepción en su artículo 30.5: "Las obligaciones indicadas (…) no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10." Será necesario esperar a la interpretación que la doctrina administrativa contenida en las resoluciones de la AEPD vaya dando a la norma. Sin embargo, el hecho de que se efectúe un "tratamiento no ocasional" -es decir, habitual o no meramente puntual- provocará que la mayor parte de las empresas no puedan acogerse a esta excepción de no tener que llevar registro de actividades de tratamiento.
A modo ilustrativo, una tabla sencilla que podría servir para esta llevanza del registro de actividades para el responsable del tratamiento contendría al menos las siguientes columnas:
| Actividad | Identificación del Responsable | Identificación del Representante del Responsable | Identificación del DPO (si lo hay) | Fuente y Mecanismo de recogida | Categoría del interesado, propietario de los datos | Tipo de datos | Finalidad del tratamiento| Destinatarios de la información | Plazo de conservación| Tipo de tratamiento | Medidas de seguridad | Transferencias internacionales de datos y descripción de dichos países |
En el caso del encargado de tratamiento, una posibilidad de registro sería la siguiente:
| Actividad | Identificación del Encargado | Identificación del Representante del Encargado | Identificación del DPO (si lo hay) | Tipo de tratamiento que realiza el responsable de tratamiento| Medidas de seguridad | Transferencias internacionales de datos y descripción de dichos países|
A mayor complejidad de organización, de sensibilidad de datos, etc., el registro convendrá que sea más prolijo en datos. Y no podemos dejar de señalar, para cerrar este apartado, que la LOPDyGDD establece que será una infracción grave no disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679" (art. 73.n)), o una infracción leve si se dispone "de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679" (art. 74.l)).
Registros potestativos: los Registros de Reclamaciones y de Brechas/Incidentes de Seguridad.
Dado que el RGPD establece la diligencia y las evidencias –principio de accountability o de responsabilidad proactiva, art. 5.2 RGPD- como principios rectores a los que el responsable de tratamiento ha de someterse, es muy aconsejable la llevanza de otros registros para demostrar la diligencia y la responsabilidad proactiva. En este sentido, planteamos dos registros: de Reclamaciones y de Brechas de seguridad.
- Registro de Reclamaciones
El Delegado de Protección de Datos (DPD; o DPO, en sus siglas en inglés) no es una figura obligada para todas las empresas (el RGPD señala los casos en los que la entidad debe designar un DPO en su art. 37.1, y la LOPDyGDD lo especifica aún más en su art. 34.1). Si está designado, este registro de reclamaciones sería competencia directa suya.
Si no hay un DPO designado, correspondería al responsable de tratamiento tener claridad de gestión y solución de las distintas reclamaciones en el ejercicio de los derechos ARSO-POL (acceso, rectificación, supresión, oposición, portabilidad, olvido y limitación de tratamiento) de los usuarios interesados. Por tanto, es muy útil disponer de dicho registro para el caso en el que la autoridad de control (AEPD) nos lo solicite.
¿Qué campos puede tener este registro? Los necesarios para identificar la reclamación y usuario, y para darle curso:
| Identificación del reclamante | Datos de contacto del reclamante | Derecho/s que ejerce | Canal de comunicación | Identificación de la persona responsable de la reclamación o del DPO (si lo hay) | Medidas adoptadas por el responsable de tratamiento | Decisión adoptada | Conclusión de la reclamación |
- Registro de Brechas o Incidentes de seguridad
De nuevo, es importante poder demostrar que existe una llevanza diligente de la protección de los datos personales en la entidad, ya sea como responsable del tratamiento o como encargado de tratamiento.
Por ello, bien el DPO o bien la persona designada para ello por el responsable o encargado del tratamiento llevarán un registro de las brechas de seguridad, que servirá para elaborar la comunicación que la AEPD solicitará en el caso de una reclamación a dicha autoridad de control por un interesado (art. 9.4 del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos), o para la preparación de un informe en el curso de una investigación por parte de la citada autoridad de control (art. 28.3.h RGPD).
Al mismo tiempo, será de gran utilidad al responsable de tratamiento para que pueda notificar la brecha de seguridad (art. 33 RGPD) a la AEPD, según la obligación por parte del responsable del tratamiento de notificar a la autoridad de control competente (AEPD) cualquier brecha de seguridad, sin dilaciones indebidas y en todo caso en un plazo máximo de 72 horas, a menos que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas.
Los campos que podemos determinar, y según el formulario de notificación de brechas de seguridad puesto a disposición por la AEPD en su Guía de Brechas de Seguridad, podrían ser:
| Fecha de la brecha | Medio de detección de la brecha | Fecha de resolución de la brecha | Tipo de brecha | Datos afectados |Sujetos afectados | Posibles consecuencias | Comunicación realizada a interesados | Implicaciones transfronterizas
Conclusión
Una llevanza ordenada y actualizada de los distintos registros necesarios -obligatorios y potestativos- nos permitirá cumplir estrictamente lo señalado por la normativa europea y nacional de protección de datos y, al mismo tiempo, disponer de un medio de prueba para manifestar la diligencia en el cumplimiento de lo dispuesto para salvaguardar la seguridad en materia de protección de datos personales.
