Elaborar el registro de actividades de tratamiento

La adaptación de una organización a las obligaciones del  Reglamento General de Protección de Datos (RGPD) incluye la revisión de los tratamientos de datos de carácter personal que realiza, con la que se puede dar comienzo al conjunto de actividades, u  hoja de ruta, que su cumplimiento va a requerir.

Tratamientos de datos personales, tanto de sus trabajadores como de aquellos colectivos de personas implicadas en la actividad, alumnos, clientes, pacientes, contribuyentes, proveedores,… y que debe plasmarse en construir y mantener actualizado  un registro con las actividades de tratamiento.

Así pues, cada organización deberá llevar un Registro de Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla. El artículo 30.1 dicta su contenido para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. La descripción del contenido de este Registro de Actividades recuerda bastante al de la Notificación de un fichero en el marco de la LOPD.

Corresponde a cada organización, de acuerdo al principio de responsabilidad proactiva (Accountability) que rige el RGPD, decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Deberá valorar hasta qué punto la segregación de sus tratamientos en elementos diferentes se corresponde con finalidades, bases jurídicas y categorías de afectados distintos.

Asimismo, le corresponde ponderar la optimización de la gestión de la protección de datos dentro de su organización para que resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue: que los individuos cuyos datos de carácter personal son objeto de tratamiento puedan tener, en su caso, un control efectivo de los mismos.

Para el sector privado la Agencia Española de Protección de Datos ha puesto a disposición de todos los responsables de tratamiento  la herramienta FACILITA_RGPD.

Podemos hablar de la construcción del Registro de actividades de tratamiento  en dos fases: la primera de ellas puede consistir en la revisión de los tratamientos de datos que la organización realiza; corresponderá a la segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades.

A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

Una vez incorporadas al Registro de Actividades todas aquellas que responden a su ámbito de actividad, la organización deberá fijarse en las nuevas obligaciones que el RGPD establece sobre los responsables y encargados del tratamiento.

El RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente debo incluir en mi Registro de Actividades de Tratamiento:

• Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.

• Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.

En cualquier caso, y en ejecución del principio de responsabilidad proactiva, corresponde a la organización decidir de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realizar la gestión de la misma.

Por último, la actual redacción del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (PLOPD), que se encuentra en tramitación parlamentaria, incluye la previsión de que todas las entidades incluidas en el artículo 77.1 deberán hacer público un inventario de sus tratamientos en el que constará la información establecida en el artículo 30 del RGPD y su base legal.