Registro de actividades de tratamiento datos en el RGPD y en la LOPDGDD

Identificación y registro de los datos personales

Como ya antepone la consideración (89) del RGPD:

«La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial».

Así, partiendo de la explicación dada sobre los conceptos esenciales y necesarios para una correcta gestión de datos personales, debe analizarse en qué consiste el procedimiento de identificación de los datos personales que serán necesarios en la actividad empresarial, para posteriormente organizarlos en torno a tratamientos individuales. Se trata de una labor fundamental a la hora de organizar cualquier entidad, pues no solo tendrá utilidad a la hora de proyectar el deber de proactividad que se exige en la normativa, sino que internamente ayudará a la organización del conjunto de tratamientos y sus contenidos.

El primer paso que se debe tomar es comprobar si el responsable se encuentra legalmente obligado a la llevanza de un registro de actividades de tratamiento, de conformidad con lo dispuesto en el artículo 31 de la LOPDGDD y en el artículo 30, apartado 5, del RGPD. Habrá de tener en cuenta, entre otros factores, el número de empleados, en concreto, el registro será obligatorio en todo caso si la empresa u organización supera el umbral de 250 personas. De tener un número menor de trabajadores, se valorarán los siguientes condicionantes:

• Que el tratamiento entrañe un riesgo para los derechos y libertades de los interesados y no sea ocasional.
• Que el tratamiento incluya categorías especiales de datos personales, esto es, que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física (se indican en el artículo 9, apartado 1, del RGPD).
• Que el tratamiento incluya datos personales relativos a condenas e infracciones penales (artículo 10 del RGPD en relación con artículo 6, apartado 1, del RGPD).

Con atención a estos requisitos viene a cumplirse el concepto conocido en el ámbito del Compliance como principio de proporcionalidad, tendente a reconocer las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación de la normativa sobre protección de datos que le resulte aplicable.

Así, una vez cotejados los anteriores condicionantes, estaremos en disposición de conocer si nuestra entidad debe confeccionar el registro o puede organizar sus tratamientos de un modo alternativo. No obstante, aun sin estar obligado a ello, es muy recomendable organizar igualmente el registro de actividades, ya que, si bien no es en obediencia a un mandato legal, si sirve de muestra de un carácter proactivo y diligente por parte de la empresa y con interés hacia la protección de la privacidad de los interesados.

Entendido lo dispuesto en el apartado anterior, lo siguiente será determinar o focalizar cuál es el objeto empresarial o las actividades que se realizan en la entidad que actúa como responsable de tratamiento o, en su caso, como encargada de tratamiento (pues deberá confeccionar su correspondiente registro de actividades). Es evidente que no va a manejar las mismas categorías de datos una clínica, que un taller o una guardería, a pesar de que se compartan ciertos datos de carácter básico que identifiquen a los interesados.

En este sentido, conocer la tipología de datos que se van a tratar es ciertamente sencilla, pues basta con entender el negocio o actividad que se va a realizar. Como regla general, lo más común es que se traten los datos identificativos básicos (nombre y apellidos, domicilio, correo electrónico y teléfono de contacto). Eventualmente, es posible que se añadan datos básicos como el número de DNI, la propia imagen del interesado o un nombre de usuario asociado.

Es posible, en el ámbito de la facturación de una entidad, que se traten datos adicionales a los expuestos anteriormente. Estos datos pueden ser los números de cuenta de los interesados en lo referente a la domiciliación bancaria, o los números de tarjetas de crédito o debido (aunque lo más común es que estos últimos no se conserven de ningún modo, pues se utilizarían dispositivos electrónicos que actúen de pasarela con la entidad bancaria, como un TPV o una pasarela de pago en la web). Incluso, puede ocurrir que se manejen datos que revelen la situación de solvencia patrimonial del interesado, lo que se suele dar en empresas de estudio de financiación o crédito, en cuyo caso habrá que estar a unas medidas de control y seguridad de la información más restrictivas que para el resto de datos mencionados.

En el caso de que la entidad cuente con una página web, los datos de navegación que se almacenen de los usuarios a través de cookies u otros mecanismos también forman parte de los datos personales que se someten al tratamiento. Entre ellos puede estar la dirección IP o cualquier otro dato que introduzca en los formularios de contacto de la web o el apartado de suscripción o, asimismo, el propio registro como usuario del sitio.

Por otro lado, no se puede perder de vista aquellos datos relativos a menores, que tratarán cualquier entidad que entable relaciones directas con estos o con intermediación de sus representantes legales, así como los datos relativos a condenas o infracciones penales, propios de los despachos de abogados.

CUESTIÓN

Mi empresa tiene una página web accesible a cualquier usuario, pero no dispone de formulario de contacto, tan solo es informativa y contiene una dirección de correo electrónico corporativa, un domicilio y el logo corporativo. ¿Qué relevancia tiene esto con respecto al registro de actividades de tratamiento?

Toda vez que no se recaba ningún tipo de dato personal a través de formulario alguno, por configurarse únicamente como un portal publicitario o meramente informativo a nivel comercial, no existiría la necesidad de incorporar un tratamiento concreto en relación el mismo. En cualquier caso, es fundamental comprobar si se están utilizando cookies de seguimiento de visitantes o con finalidades similares, las cuales puedan recopilar direcciones IP. En este caso, conforme se ha establecido anteriormente, sí estaríamos ante un tratamiento de datos que debemos incorporar a nuestro registro de actividades.

Haciendo lectura del artículo 31 de la LOPDGDD, una vez identificados todos los datos de carácter personal que trate la entidad, el siguiente paso que se debe realizar, con anterioridad a poner en marcha el tratamiento, es agrupar dichos datos por categorías, asignarles una finalidad concreta y, en definitiva, confeccionar un tratamiento concreto con respecto a cada una de estas finalidades. Se debe tener en cuenta que se deben añadir a este registro tantos tratamientos como finalidades se persigan con los datos del interesado, pudiendo agruparse más de una finalidad en el mismo tratamiento si están relacionadas y no resultan incompatibles.

Entendido lo anterior, procede enunciar cuáles son los elementos que deben abordarse en cualquier registro de actividades de tratamiento que se deba confeccionar, teniendo en cuenta las dos realidades posibles: la confección para un responsable de tratamiento y la confección para un encargado de tratamiento, con inclusión de los representantes de ambos, si fuera el caso:

1. Para el responsable de tratamiento. Conforme al artículo 30, apartado 1, del RGPD, el registro de actividades de tratamiento que llevará el responsable y, en su caso, su representante, debe contener:

- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.

- Los fines del tratamiento.

- Una descripción de las categorías de interesados y de las categorías de datos personales.

- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.

- Cuando fuere el caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional. En el caso de transferencias específicas del artículo 49, apartado 1, párrafo 2.º, del RGPD, debe incluirse al registro la documentación de garantías necesarias.

- Si fuera posible, los plazos previstos para la supresión de las diferentes categorías de datos.

- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se hayan diseñado y resulten de aplicación al tratamiento concreto, según las recogidas en el artículo 32, apartado 1, del RGPD.

2. Para el encargado de tratamiento. Siguiendo con el citado artículo 30, apartado 2, del RGPD, cada encargado y, en su caso, el representante del encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga los siguientes apartados:

- El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos.

- Las categorías de tratamientos efectuados por cuenta de cada responsable.

- En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional. En el caso de transferencias específicas del artículo 49, apartado 1, párrafo 2.º, del RGPD, debe incluirse al registro la documentación de garantías necesarias.

- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se hayan diseñado y resulten de aplicación al tratamiento concreto. 

Estos registros deben constar por escrito, en formato electrónico, debiendo estar a disposición de la autoridad de control que lo requiera. Tanto el encargado como el responsable, según el caso, se lo facilitará.  

A TENER EN CUENTA. El incumplimiento de los citados preceptos del RGPD supone la imposición de una multa administrativa, al amparo del artículo 83, apartado 4, letra a), del RGPD, de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose en estos casos por la de mayor cuantía.

CUESTIÓN

¿La infracción del art. 30 del RGPD constituye un tratamiento ilícito a los efectos de los arts. 17.1.d) o 18.1.b) del RGPD?

No, así lo ha establecido el TJUE en la sentencia, asunto C-60/22, de 4 de mayo de 2023, ECLI:EU:C:2023:373, en la que determina:

«(...)  los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), del RGPD deben interpretarse en el sentido de que el incumplimiento, por parte del responsable del tratamiento, de las obligaciones establecidas en los artículos 26 y 30 de dicho Reglamento, relativas, respectivamente, a la celebración de un acuerdo que determine la corresponsabilidad del tratamiento y a la llevanza de un registro de las actividades de tratamiento, no constituye un tratamiento ilícito que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento, dado que tal incumplimiento no supone la vulneración, como tal, por parte del responsable del tratamiento, del principio de «responsabilidad proactiva», tal como se enuncia en el artículo 5, apartado 2, de dicho Reglamento, en relación con los artículos 5, apartado 1, letra a), y 6, apartado 1, párrafo primero, de este».

Sistemas de videovigilancia o alarma como categoría separada del registro de datos

Una categoría separada del registro de datos llevado a cabo por el responsable de tratamiento será la de aquellos datos que se obtengan a través de un sistema de videovigilancia o alarma, sobre los cuales se deben realizar ciertas precisiones, pues no se suelen tomar en consideración cuando se piensa en la adaptación normativa de cualquier entidad. Así, las imágenes obtenidas por una cámara de videovigilancia o alarma son datos personales de interesados, pero revisten ciertas especialidades.

La primera de las especialidades reseñadas tiene que ver con situar al responsable de tratamiento en este contexto. Esto responde a la problemática que se da en aquellos supuestos en los que una entidad que es responsable de todo el resto de tratamientos tiene instalado un sistema de videovigilancia a través de una empresa de seguridad especializada. En estos supuestos, la gestión de las imágenes puede pasar por dicha entidad, por lo que se deberá configurar como encargada de tratamiento y mantener a la entidad principal, donde están situadas las cámaras, como responsable principal.

La segunda de las especialidades tiene que ver con la debida distinción que debe realizarse sobre los sistemas de alarma y los de videovigilancia. Esto es así debido a que no es lo mismo la grabación permanente de un recinto que la grabación puntual o, en su caso, la captación de imágenes estáticas y no en vídeo. Esta distinción la realizamos de conformidad con el propio funcionamiento de un sistema de alarma, el cual estará programado para captar imágenes únicamente en el momento en el que salta el sistema por un acceso no autorizado al recinto de cobertura, y el funcionamiento de un sistema de videovigilancia, cuya cobertura temporal es constante y no se activa o desactiva en atención al acceso no autorizado al recinto.

Siguiendo lo establecido en el artículo 22 de la LOPDGDD, cabe indicar que no podrán captarse imágenes de la vía pública, como norma general, con la única excepción de que resulte imprescindible para la finalidad de preservar la seguridad de personas, bienes o instalaciones. Asimismo, en el caso de que el responsable de tratamiento esté vinculado a instalaciones estratégicas o infraestructuras relacionadas con el transporte, se podrán captar imágenes de la vía pública, sin que se produzca la captación de imágenes del interior de un domicilio privado.

Además, el plazo de conservación máximo permitido es de un mes desde la captación de las imágenes, con la excepción vinculada a la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, en cuyo caso se podrán conservar durante más tiempo, poniéndolas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación. Consecuentemente, tal y como dispone el artículo 22.3 in fine de la LOPDGDD, «no será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica».

Como se puede observar, existen numerosos factores a los que atender para confeccionar un adecuado listado de datos de carácter personal que formarán parte del sistema de protección de datos de cualquier entidad. Es difícil abarcar todas las posibilidades de tratamientos, por lo que nuestro objetivo con todo lo establecido hasta este punto es otorgar las claves prácticas y las herramientas que sirvan para adoptar una óptica identificativa de estos elementos. Recuérdese que cada entidad presenta una realidad diferente y el objetivo es adaptar esta realidad a la normativa, por lo que será labor de cada responsable (o encargado) el confeccionar un listado de datos y tratamientos que se corresponda con su actividad.

CUESTIONES

1. En mi empresa tengo instaladas cámaras de videovigilancia conectadas a una señal IP que puedo reproducir en mi teléfono móvil, ¿es eso un tratamiento de datos de carácter personal?

Según se ha indicado, recabar imágenes del rostro y la presencia física de un interesado supone un dato personal evidente. Así, colocar un dispositivo que realiza una emisión de imágenes en directo en un teléfono, aunque estas no se graben o almacenen en un soporte concreto, supone un tratamiento de datos igualmente. En este caso, un tratamiento de duración instantánea, pero definitivamente un tratamiento de datos de carácter personal.

2. La instalación de un sistema de alarma que únicamente saca fotografías cuando salta, ¿supone un tratamiento de datos de carácter personal?

De acuerdo con el criterio mantenido hasta este punto, la respuesta es afirmativa. Con independencia de que se trate de vídeo o fotografía, y de si se trata de una grabación constante o puntual, en el momento en el que el dispositivo es susceptible de sacar fotografías del recinto, lo recomendable es incorporar este tratamiento, con su correspondiente finalidad, al registro interno de actividades de tratamiento que se deba confeccionar.