LOPD versus GDPR: de la inscripción de ficheros al análisis de riesgos


     14/04/2017

 

21/12/2017 | FS Consultores / GDPR NEWS

Análisis de riesgos versus Registro de actividades


La AEPD ha publicado un nuevo artículo en su blog, "De la inscripción de ficheros al registro de actividades", donde la noticia más relevante es que "El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos y, en consecuencia, desaparece la primera de las obligaciones del responsable que trata datos de carácter personal: la notificación gratuita de ficheros ante el Registro General de Protección de Datos de la AEPD".

En casi todo el artículo se describe la utilidad que hasta el momento se le confiere a dicha inscripción en el Registro, con el objetivo que el responsable del tratamiento esté concienciado de la protección de datos y el ciudadano pueda conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal.

Aunque el objetivo final que se pretendía con este registro de ficheros no se ha logrado, lo que sí se ha conseguido es que la mayoría de empresas se hayan enterado que existe una legislación de protección de datos que deben cumplir y que, de no hacerlo, les pueda afectar con fuertes sanciones económicas.

Visto esto, la AEPD sentencia ya en el título de la noticia, que "La obligatoriedad actual de inscribir los ficheros ... será sustituida por la de contar con un registro de actividades".

No puedo más que mostrar mi perplejidad cuando la AEPD publica una noticia, que a mi modesto parecer, no se corresponde con lo que dispone el Reglamento. Y me explico:

El Reglamento reconoce en el considerando 89 que esta medida (la inscripción de ficheros) no ha contribuido a mejorar la protección de datos personales y la sustituye por la obligación de realizar una evaluación de impacto cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de los interesados. O sea, que la sustitución va más relacionada con el análisis de riesgos para determinar si existe un alto riesgo que no en la llevanza de un registro de las actividades del tratamiento.

Y más aún. Cuando la AEPD determina que "El artículo 30 estipula que cada responsable y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad", no menciona que la llevanza de este registro solo obliga a los responsables del tratamiento que cumplan alguna de las siguientes condiciones (apartado 5 del artículo 30):
 
  • Tengan un mínimo de 250 empleados.
  • El tratamiento pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional.
  • Se traten categorías especiales de datos.
  • Se traten datos relativos a condenas y delitos penales.

Por todo lo mencionado anteriormente y siguiendo la doctrina del GDPR, vamos a tener que sustituir la obligación de inscribir ficheros por la obligación de realizar un análisis de riesgos para evaluar el impacto relativo a la protección de datos que pueda comportar el tratamiento sobre los derechos y libertades de los ciudadanos.
 

 

Que dice el GDPR


Considerando 89

La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.
 

Artículo 30. Registro de las actividades de tratamiento

1.   Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
a)    el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b)    los fines del tratamiento;
c)    una descripción de las categorías de interesados y de las categorías de datos personales;
d)    las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e)    en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f)    cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g)    cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2.   Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
a)    el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b)    las categorías de tratamientos efectuados por cuenta de cada responsable;
c)    en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d)    cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

3.   Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4.   El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5.   Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.


Josep Aragonés Salvat /  Gustavo Fumagalli Peña