660 - Procedimiento para la Identificación y registro de los datos personales

Como ya antepone la consideración (89) del RGPD:

«La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial».

Así, partiendo de la explicación dada sobre los conceptos esenciales y necesarios para una correcta gestión de datos personales, debe analizarse en qué consiste el procedimiento de identificación de los datos personales que serán necesarios en la actividad empresarial, para posteriormente organizarlos en torno a tratamientos individuales. Se trata de una labor fundamental a la hora de organizar cualquier entidad, pues no solo tendrá utilidad a la hora de proyectar el deber de proactividad que se exige en la normativa, sino que internamente ayudará a la organización del conjunto de tratamientos y sus contenidos.

El primer paso que se debe tomar es comprobar si el responsable se encuentra legalmente obligado a la llevanza de un registro de actividades de tratamiento, de conformidad con lo dispuesto en el artículo 31 de la LOPDGDD y en el artículo 30, apartado 5, del RGPD. Habrá de tener en cuenta, entre otros factores, el número de empleados, en concreto, el registro será obligatorio en todo caso si la empresa u organización supera el umbral de 250 personas. De tener un número menor de trabajadores, se valorarán los siguientes condicionantes:

• Que el tratamiento entrañe un riesgo para los derechos y libertades de los interesados y no sea ocasional.
• Que el tratamiento incluya categorías especiales de datos personales, esto es, que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física (se indican en el artículo 9, apartado 1, del RGPD).
• Que el tratamiento incluya datos personales relativos a condenas e infracciones penales (artículo 10 del RGPD en relación con artículo 6, apartado 1, del RGPD).

Con atención a estos requisitos viene a cumplirse el concepto conocido en el ámbito del Compliance como principio de proporcionalidad, tendente a reconocer las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación de la normativa sobre protección de datos que le resulte aplicable.

Así, una vez cotejados los anteriores condicionantes, estaremos en disposición de conocer si nuestra entidad debe confeccionar el registro o puede organizar sus tratamientos de un modo alternativo. No obstante, aun sin estar obligado a ello, es muy recomendable organizar igualmente el registro de actividades, ya que, si bien no es en obediencia a un mandato legal, si sirve de muestra de un carácter proactivo y diligente por parte de la empresa y con interés hacia la protección de la privacidad de los interesados.

Entendido lo dispuesto en el apartado anterior, lo siguiente será determinar o focalizar cuál es el objeto empresarial o las actividades que se realizan en la entidad que actúa como responsable de tratamiento o, en su caso, como encargada de tratamiento (pues deberá confeccionar su correspondiente registro de actividades). Es evidente que no va a manejar las mismas categorías de datos una clínica, que un taller o una guardería, a pesar de que se compartan ciertos datos de carácter básico que identifiquen a los interesados.

En este sentido, conocer la tipología de datos que se van a tratar es ciertamente sencilla, pues basta con entender el negocio o actividad que se va a realizar. Como regla general, lo más común es que se traten los datos identificativos básicos (nombre y apellidos, domicilio, correo electrónico y teléfono de contacto). Eventualmente, es posible que se añadan datos básicos como el número de DNI, la propia imagen del interesado o un nombre de usuario asociado.

Es posible, en el ámbito de la facturación de una entidad, que se traten datos adicionales a los expuestos anteriormente. Estos datos pueden ser los números de cuenta de los interesados en lo referente a la domiciliación bancaria, o los números de tarjetas de crédito o debido (aunque lo más común es que estos últimos no se conserven de ningún modo, pues se utilizarían dispositivos electrónicos que actúen de pasarela con la entidad bancaria, como un TPV o una pasarela de pago en la web). Incluso, puede ocurrir que se manejen datos que revelen la situación de solvencia patrimonial del interesado, lo que se suele dar en empresas de estudio de financiación o crédito, en cuyo caso habrá que estar a unas medidas de control y seguridad de la información más restrictivas que para el resto de datos mencionados.

En el caso de que la entidad cuente con una página web, los datos de navegación que se almacenen de los usuarios a través de cookies u otros mecanismos también forman parte de los datos personales que se someten al tratamiento. Entre ellos puede estar la dirección IP o cualquier otro dato que introduzca en los formularios de contacto de la web o el apartado de suscripción o, asimismo, el propio registro como usuario del sitio.

Por otro lado, no se puede perder de vista aquellos datos relativos a menores, que tratarán cualquier entidad que entable relaciones directas con estos o con intermediación de sus representantes legales, así como los datos relativos a condenas o infracciones penales, propios de los despachos de abogados.

CUESTIÓN

Mi empresa tiene una página web accesible a cualquier usuario, pero no dispone de formulario de contacto, tan solo es informativa y contiene una dirección de correo electrónico corporativa, un domicilio y el logo corporativo. ¿Qué relevancia tiene esto con respecto al registro de actividades de tratamiento?

Toda vez que no se recaba ningún tipo de dato personal a través de formulario alguno, por configurarse únicamente como un portal publicitario o meramente informativo a nivel comercial, no existiría la necesidad de incorporar un tratamiento concreto en relación el mismo. En cualquier caso, es fundamental comprobar si se están utilizando cookies de seguimiento de visitantes o con finalidades similares, las cuales puedan recopilar direcciones IP. En este caso, conforme se ha establecido anteriormente, sí estaríamos ante un tratamiento de datos que debemos incorporar a nuestro registro de actividades.

Haciendo lectura del artículo 31 de la LOPDGDD, una vez identificados todos los datos de carácter personal que trate la entidad, el siguiente paso que se debe realizar, con anterioridad a poner en marcha el tratamiento, es agrupar dichos datos por categorías, asignarles una finalidad concreta y, en definitiva, confeccionar un tratamiento concreto con respecto a cada una de estas finalidades. Se debe tener en cuenta que se deben añadir a este registro tantos tratamientos como finalidades se persigan con los datos del interesado, pudiendo agruparse más de una finalidad en el mismo tratamiento si están relacionadas y no resultan incompatibles.

Entendido lo anterior, procede enunciar cuáles son los elementos que deben abordarse en cualquier registro de actividades de tratamiento que se deba confeccionar, teniendo en cuenta las dos realidades posibles: la confección para un responsable de tratamiento y la confección para un encargado de tratamiento, con inclusión de los representantes de ambos, si fuera el caso:

1. Para el responsable de tratamiento. Conforme al artículo 30, apartado 1, del RGPD, el registro de actividades de tratamiento que llevará el responsable y, en su caso, su representante, debe contener:

- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.

- Los fines del tratamiento.

- Una descripción de las categorías de interesados y de las categorías de datos personales.

- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.

- Cuando fuere el caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional. En el caso de transferencias específicas del artículo 49, apartado 1, párrafo 2.º, del RGPD, debe incluirse al registro la documentación de garantías necesarias.

- Si fuera posible, los plazos previstos para la supresión de las diferentes categorías de datos.

- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se hayan diseñado y resulten de aplicación al tratamiento concreto, según las recogidas en el artículo 32, apartado 1, del RGPD.

2. Para el encargado de tratamiento. Siguiendo con el citado artículo 30, apartado 2, del RGPD, cada encargado y, en su caso, el representante del encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga los siguientes apartados:

- El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos.

- Las categorías de tratamientos efectuados por cuenta de cada responsable.

- En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional. En el caso de transferencias específicas del artículo 49, apartado 1, párrafo 2.º, del RGPD, debe incluirse al registro la documentación de garantías necesarias.

- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se hayan diseñado y resulten de aplicación al tratamiento concreto. 

Estos registros deben constar por escrito, en formato electrónico, debiendo estar a disposición de la autoridad de control que lo requiera. Tanto el encargado como el responsable, según el caso, se lo facilitará.  

A TENER EN CUENTA. El incumplimiento de los citados preceptos del RGPD supone la imposición de una multa administrativa, al amparo del artículo 83, apartado 4, letra a), del RGPD, de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose en estos casos por la de mayor cuantía.

CUESTIÓN

¿La infracción del art. 30 del RGPD constituye un tratamiento ilícito a los efectos de los arts. 17.1.d) o 18.1.b) del RGPD?

No, así lo ha establecido el TJUE en la sentencia, asunto C-60/22, de 4 de mayo de 2023, ECLI:EU:C:2023:373, en la que determina:

«(...)  los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), del RGPD deben interpretarse en el sentido de que el incumplimiento, por parte del responsable del tratamiento, de las obligaciones establecidas en los artículos 26 y 30 de dicho Reglamento, relativas, respectivamente, a la celebración de un acuerdo que determine la corresponsabilidad del tratamiento y a la llevanza de un registro de las actividades de tratamiento, no constituye un tratamiento ilícito que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento, dado que tal incumplimiento no supone la vulneración, como tal, por parte del responsable del tratamiento, del principio de «responsabilidad proactiva», tal como se enuncia en el artículo 5, apartado 2, de dicho Reglamento, en relación con los artículos 5, apartado 1, letra a), y 6, apartado 1, párrafo primero, de este».