1790 - Análisis y evaluación de riesgos en el tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

El registro de las actividades de tratamiento (RAT) dentro de la Administración de Justicia para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Se establece en la Directiva 2016/680, que el responsable y el encargado del tratamiento deberán mantener registros relativos a todas las categorías de actividades de tratamiento que se lleven a cabo bajo su responsabilidad y que puedan servir para demostrar la licitud del tratamiento, permitir el autocontrol y garantizar la integridad y la seguridad de los datos, estando obligados a poner dichos registros a disposición de la autoridad de control cuando esta los solicite, de tal forma que puedan emplearse para supervisar las operaciones de tratamiento.

El registro que debe de llevar a cabo el responsable del tratamiento debe contener:

• El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del corresponsable y del delegado de protección de datos.
• Los fines del tratamiento.
• Las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
• Una descripción de las categorías de interesados y de las categorías de datos personales.
• En su caso, el recurso a la elaboración de perfiles.
• En su caso, las categorías de transferencias de datos personales a un tercer país o a una organización internacional.
• Una indicación de la base jurídica del tratamiento, incluidas las transferencias, de que van a ser objeto los datos personales.
• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos personales.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Por su parte, el registro que debe de llevar a cabo el encargado del tratamiento contendrá:

• El nombre y los datos de contacto del encargado o encargados del tratamiento, de cada responsable del tratamiento en cuyo nombre actúe el encargado y, cuando corresponda, del delegado de protección de datos.
• Las categorías de tratamientos efectuados en nombre de cada responsable.
• En su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida, la identificación de dicho tercer país o de dicha organización internacional, cuando el responsable del tratamiento así lo ordene explícitamente.
• Una descripción general de las medidas técnicas y organizativas de seguridad cuando esto sea posible.

CUESTIONES

1. ¿Qué es y qué información debe contener un registro de operaciones?

El artículo 25 de la Directiva UE 2016/680 sienta las bases de la regulación del registro de operaciones, que deberá ponerse a disposición de la autoridad de control a solicitud de esta, señalando que los Estados miembros velarán por que se conserven registros de, al menos, las operaciones de tratamiento en sistemas de tratamiento automatizados siguientes:

- Recogida.

- Alteración.

- Consulta.

- Comunicación incluidas las transferencias.

- Combinación o supresión.

Estos registros se utilizarán únicamente a efectos de verificar la legalidad del tratamiento, autocontrol, garantizar la integridad y la seguridad de los datos personales y en el ámbito de los procesos penales.

2. ¿Se regula está obligación de conservar un registro de todas las actividades de tratamiento en alguna norma estatal?

En efecto, el art. 32 de la LO 7/2021 establece la obligación del responsable y del encargado de tratamiento, en su caso, de conservar dicho registro. 

Evaluación de impacto en los tratamientos de datos realizados por la Administración de Justicia para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, suponga un alto riesgo para los derechos y libertades de las personas físicas, ya sea por su naturaleza, alcance, contexto o fines, los Estados miembros dispondrán que el responsable del tratamiento lleve a cabo, con carácter previo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales [art. 27 de la Directiva (UE) 2016/680 y art. 35 de la LO 7/2021].

Esta evaluación debe incluir como mínimo:

• Una descripción general de las operaciones de tratamiento previstas.
• Una evaluación de los riesgos para los derechos y libertades de los interesados.
• Las medidas contempladas para hacer frente a estos riesgos.
• Las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y a demostrar la conformidad con la mencionada directiva, teniendo en cuenta los derechos e intereses legítimos de los interesados y las demás personas afectadas.

Las evaluaciones de impacto deben abarcar los sistemas y procesos correspondientes de las operaciones de tratamiento, pero no harán referencia a casos concretos.

CUESTIÓN

Cuando la evaluación del riesgo señala que el tratamiento entraña un riesgo alto, ¿qué debe hacer de partida el responsable o el encargado del tratamiento?

Cuando la evaluación del impacto en la protección de los datos indique que el tratamiento entraña un alto riesgo a falta de medidas adoptadas por el responsable a fin de mitigar el riesgo, los Estados miembros velarán por que el responsable o el encargado del tratamiento consulte a la autoridad de control antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero que haya de crearse. Cuando la autoridad de control considere que el tratamiento podría infringir lo dispuesto en la directiva, y el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, dicha autoridad de control deberá, en un plazo de seis semanas desde la solicitud de la consulta (prorrogables por un mes más en función de la complejidad de la consulta), asesorar por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento.

Seguridad del tratamiento de los datos personales tratados por la Administración de Justicia para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Se establece en la Directiva (UE 2016/680) —y, por lo tanto, en la LO 7/2021— que los Estados miembros dispondrán que el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, sobre todo en lo referido al tratamiento de las categorías especiales de datos personales, teniendo en cuenta para ello:

• El estado de la técnica y los costes de aplicación.
• La naturaleza, el alcance, el contexto y los fines de tratamiento.
• El riesgo de probabilidad y gravedad variable para los derechos y libertades de las personas físicas.

En la evaluación de los riesgos relacionados con la seguridad de los datos, se deben considerar los riesgos que se derivan del tratamiento de los datos, como la destrucción accidental o ilícita, la pérdida, la alteración, la comunicación no autorizada o el acceso no autorizado a datos personales transmitidos, almacenados o sometidos a cualquier otro tipo de tratamiento, que puedan ocasionar, en particular, perjuicios físicos, materiales o inmateriales. El responsable y el encargado del tratamiento deben asegurarse de que el tratamiento de datos personales no lo llevan a cabo personas no autorizadas.

El artículo 29.2 de la Directiva UE 2016/680 dispone que, en relación con el tratamiento automatizado, cada Estado miembro dispondrá que el responsable o encargado del tratamiento, a raíz de una evaluación de los riesgos, ponga en práctica medidas destinadas a: 

«a) denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento (control de acceso a los equipamientos);

b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos);

c) impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control del almacenamiento);

d) impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales para los que han sido autorizados (control del acceso a los datos);

f) garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos (control de la transmisión);

g) garantizar que pueda verificarse y constatarse a posteriori qué datos personales se han introducido en los sistemas de tratamiento automatizado y en qué momento y por qué persona han sido introducidos (control de la introducción);

h) impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (restablecimiento);

j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad)».

En el caso de que se produzca una violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control, sin dilación indebida y en un plazo máximo de 72 horas tras haber tenido constancia de ella, a menos que sea improbable que la violación de la seguridad de los datos personales constituya un riesgo para los derechos y libertades de las personas físicas.

CUESTIONES

1. ¿Qué pasa cuando no se respeta el plazo de 72 horas establecido para notificar a la autoridad de control una violación de la seguridad de los datos personales?

Cuando la notificación a la autoridad de control no se hace en el plazo de 72 horas deberá ir acompañada de los motivos de la dilación.

2. ¿Qué debe contemplar la notificación a la autoridad de control?

La notificación, según el artículo 30 de la Directiva (UE) 2016/680, deberá contener al menos: 

- La descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

- La comunicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

- La descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

- La descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.

Cuando sea probable que la violación de la seguridad de los datos personales pueda dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá comunicar al interesado la violación de la seguridad de los datos personales sin dilación indebida, con la finalidad de que puedan adoptar las precauciones necesarias.

Esta comunicación deberá describir la naturaleza de la violación de la seguridad de los datos de manera clara y sencilla, y contener al menos la comunicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; la descripción de las posibles consecuencias de la violación de la seguridad de los datos personales; la descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.

La directiva recoge tres excepciones en las que no será necesaria la notificación al interesado:

• Cuando el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y dichas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en concreto aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como por ejemplo el cifrado.
• Cuando el responsable del tratamiento ha tomado medidas posteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades del interesado.
• Cuando suponga un esfuerzo desproporcionado, ya que en estos casos se optará a cambio por una comunicación pública o una medida semejante mediante la cual se informe a los interesados de manera igualmente efectiva.

El considerando 62 de la Directiva UE 2016/680 recoge que «Cuando el hecho de retrasar o restringir la comunicación de una violación de la seguridad de datos personales a la persona física afectada no sea suficiente para evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales, evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales, proteger la seguridad pública o la seguridad nacional o proteger los derechos y libertades de otras personas, dicha comunicación, en circunstancias excepcionales, podrá omitirse».