11 May 2019

El registro de actividades de tratamiento

por | publicado en: Compliance, Diligencia, RGPD | 0

Tiempo de lectura : 22 minutos

El registro de actividades de tratamiento, abreviadamente RAT, es el núcleo central del cumplimiento normativo en protección de datos personales. El RAT es la medida más visible en la nueva regulación, de la misma forma que el fichero lo era en la anterior. Pero fichero y RAT son distintos; más completo el segundo y orientado a la gestión.

El artículo describe el contenido del RAT del responsable, tanto el regulado por el artículo 30 del RGPD (contenido mínimo), como el que abarca todos los aspectos que forman parte de un tratamiento. En cuanto a los encargados, tienen un formato de RAT algo distinto, que se tratará en un artículo futuro.

Aspectos generales

¿Qué es un tratamiento?

El RGPD, en su definición del artículo 4, expone que el tratamiento es cualquier operación que afecta a datos personales, desde la mera recopilación y almacenamiento, hasta complejas operaciones estadísticas para inferir nueva información. La costumbre, por otra parte, ha llevado a relacionar el tratamiento con el ciclo de vida de los datos. En puridad, el ciclo de vida de un dato. Como los datos no se presentan de uno en uno, se asume que los conjuntos de datos que suelen ir juntos forman un tratamiento. Así, la nómina se considera un tratamiento, y los subprocesos (cálculo de nómina, cómputo de vacaciones o bajas, cálculo de TC1 y TC2, certificados anuales de retención IRPF, impresión de nóminas, retención de salario embargado) son operaciones del tratamiento. Por otro lado, analizar operación por operación puede tener sentido en grandes organizaciones o en tratamientos complejos de datos personales, algo que raramente sucederá en una pyme.

Hay otras aproximaciones al concepto tratamiento; el conjunto estructurado de datos (o fichero) venía obligado por la anterior normativa (el reglamento de desarrollo de la LOPD).

En este artículo se asume, pues, que el RAT contendrá descripción de cada tratamiento, y éste abarca un ciclo de vida de datos. Un empleado, por ejemplo, puede tener asociados diversos tratamientos, muchos de ellos asociados a su tiempo de permanencia en la empresa, pero no siempre derivados del específico proceso de nómina. Por ejemplo, pudiera considerarse ciclo de vida, además de la nómina:

  • contrato de trabajo
  • selección de personal. Currículum, exámenes realizados (incluyendo calificaciones y anotaciones del tribunal)
  • registro de control horario
  • contabilidad (si discrimina por empleado)
  • formación
  • información de salud de familiares de empleados, a fin de que el empleado disfrute del permiso retribuido según el Estatuto de los Trabajadores o mejor convenio colectivo o de empresa

A su vez, el empleado tendrá también datos personales esparcidos por la empresa derivados de su cotidianeidad laboral: contenidos de actas en las que aparezca, documentos que haya firmado, fotografías, artículos que haya escrito, .…

¿Qué es el RAT?

El RAT es una relación de tratamientos, sin formato predefinido. Suele publicarse en forma de texto, pero lo habitual es almacenarlo de forma tabular: un Excel, una tabla o un grupo de tablas en base de datos, un listado de fichas.

El RAT es una bitácora de los procesos de negocio que hace la organización en cuanto a datos personales. Es razonable incluir en él cualquier aspecto directamente derivado del tratamiento que se vea afectado por la normativa de protección de datos.

¿Quién debe llevar el RAT?

El RAT debe ser mantenido por responsables, corresponsables y encargados. Si bien la figura del corresponsable a veces es difusa y difícil de identificar (un ejemplo de corresponsabilidad sería los componentes de una Unión Temporal de Empresas, UTE), cualquier empresa, institución, entidad, asociación, fundación, autónomo, organismo público es responsable, como mínimo, de sus empleados y los datos de contacto de clientes, proveedores, bancos, gestorías, … Si, además, trabaja siguiendo instrucciones de otro (por ejemplo, los gestores) es además encargado de todos aquellos que le encomiendan datos personales y, por tanto, debe llevar RAT de encargado.

Se puede deducir con bastante certeza que, si hay NIF, actividad económica, personalidad jurídica o no jurídica, … existe obligación de cumplimiento del RGPD. De hecho, el RGPD solo excluye las actividades relacionadas con la vida social y familiar (la llamada exención doméstica).

Contenido mínimo del RAT del responsable

El contenido mínimo del RAT del responsable está estipulado en el artículo 30.1 del RGPD. Ese contenido no distingue entre cabecera y detalle, pero es inmediato distinguir cuáles son comunes a todos los tratamientos y cuáles específicos de cada uno.

  • Nombre y datos de contacto de: responsable, y, si los hay, de corresponsables, representantes y delegado de protección de datos
  • Fines del tratamiento
  • Categorías de interesados y categorías de datos personales
  • Categorías de destinatarios, incluidos organizaciones internacionales y destinatarios residentes en terceros países
  • Si las hay, transferencias de datos internacionales, identificado el país o la organización internacional y la documentación de las garantías correspondientes en RGPD 49.1.2
  • Si es posible, plazos previstos para la supresión de las diferentes categorías de datos personales
  • Si es posible, descripción general de las medidas técnicas y organizativas de seguridad mencionadas en RGPD 32.1.2

Contenido mínimo del RAT del Encargado

El RAT del encargado se trata en el artículo 30.2 del RGPD. El RAT se confeccionará por categoría de actividad de tratamiento hechos por cuenta de un responsable o encargado

  • Nombre y datos de contacto del encargado y del responsable por cuenta del cual actúa. Si lo hay, del Delegado de Protección de Datos
  • Categorías de tratamientos efectuados por cuenta de cada responsable
  • Transferencias de datos personales a terceros países u organizaciones internacionales y, caso de art 49.1.2 documentación garantías adecuadas
  • Si es posible, medidas técnicas y organizativas de 32.1 (el texto del RGPD versión en español indica art 30; es un error)

Contenido adicional RAT del responsable

Además de lo anterior, los siguientes puntos son adecuados para ser adecuadamente registrados para cada tratamiento o, en su caso, la cabecera del RAT

Necesidad de Delegado de Protección de Datos

El Delegado de Protección de Datos es una figura a la cual el RGPD otorga un papel relevante en el cumplimiento. Es obligatorio en múltiples casos, regulados tres de ellos en el RGPD 37.1 y otros dieciséis en la LOPD 34.1. Todos y cada uno de los organismos públicos (de Europa) deben tener designado un Delegado de Protección de Datos.

Como en todo texto legal, hay zonas grises. Además, el Delegado de Protección de datos, aunque no sea obligatorio, se puede designar igualmente. Todo lo cual aconseja motivar en un breve documento la designación o no designación de esa figura.

Autoridad de Control Competente

Si bien a la mayoría de empresas o instituciones tiene como referencia la Agencia Española de Protección de Datos, las autoridades autonómicas en la materia (Andalucía, Euskadi, Cataluña), pueden ser las autoridades competentes si la empresa o institución forma parte del sector público o es proveedora de la administración pública en esos territorios.

Base jurídica

Cada tratamiento debe ser lícito, cumpliendo al menos una de las seis opciones del artículo 6 del RGPD. Llegado el caso, el responsable debe estar en condiciones de demostrar que cumple con la base o bases escogidas.

El interés legítimo

En el caso particular de que la base invocada sea el interés legítimo (tratado en un artículo anterior, blog.datium.eu/interes-legitimo), hay que demostrar que ese interés legítimo invocado no prevalece sobre los intereses, derechos y libertades del interesado. Esa demostración se conoce también como juicio de ponderación, que se suele abordar usando metodologías recomendadas por las autoridades en la materia (y la materia puede ser la protección de datos o el ejercicio de derechos fundamentales).

Existen, además, textos legales (disposiciones, considerandos) que de por sí legitiman algunos tratamientos. Tal es el caso del título IV, artículos 19 a 27, de la LOPD 3/2018, u otras leyes. Por tanto, será conveniente anotar en el RAT cuál es el Interés legítimo invocado, qué ley o disposición lo sustenta o bien un breve resumen de por qué ese interés no prevalece sobre los derechos y libertades del interesado. Se trata de un antagonismo de derechos, del cual hay que salir vencedor. El inconveniente es que, llegado el caso, la autoridad de control, un juez o un tribunal no estén de acuerdo con el razonamiento propuesto.

El consentimiento

En caso de que la base de licitud sea el consentimiento del interesado, será adecuado indicar cómo se ha recogido y dónde está almacenada la evidencia.

Datos de categoría especial

Con mayor motivo, hay que indicar en el RAT si hay datos que son de categoría especial (RGPD 9) o de condenas penales (RGPD 10). Aquí encajaría el registro horario por característica biométrica (huella dactilar, reconocimiento facial, voz) de muchas empresas o el consentimiento informado por firma biométrica de consultorios médicos y sanitarios.

Esos datos deben acogerse a una de las previsiones de RGPD 9.2 para levantar la prohibición que sobre ellos impone el RGPD, mientras no haya disposición legal española que allane el camino (conforme a RGPD 9.4).

Riesgo

El considerando RGPD 83 indica que el responsable debe evaluar los riesgos del tratamiento, entendiendo por riesgos aquellos que comprometen los derechos y libertades de los interesados. No son, pues, riesgos informáticos, o al menos no directamente, sino riesgos relacionados con perjuicios que se puedan causar a los interesados por mal uso de la información personal que la empresa dispone. El considerando 84, a su vez, indica la conveniencia de acometer una evaluación de impacto cuando el riesgo derivado del tratamiento es alto. Esa conveniencia se torna obligación en RGPD 35.

Lo habitual al hablar de evaluación de riesgos es dar unos pocos valores o rangos, que suelen ser entre 3 y 5 (poco/medio/mucho o muy poco/poco/medio/bastante/mucho). Sin embargo, el LOPD sale al rescate y en su artículo 28.1 indica que los responsables y encargados, al determinar las medidas técnicas y organizativas de seguridad, valorarán si procede la evaluación de impacto.

Por tanto, los textos legales sólo obligan a distinguir si el riesgo es alto o no, dejando el mayor detalle para las organizaciones que lo crean conveniente (por volumen o variedad, por ejemplo). En organizaciones que se dedican a una actividad principal, poco importa la gradación de riesgos si la misma no viene acompañada de un repertorio correspondiente de medidas o salvaguardas. Otra cosa será un gran hospital con actividades que varían desde largas estadías de personas con numerosas características especiales (salud, vulnerabilidad social, vigilancia policial), hasta la gestión administrativa de unas decenas de pisos que el hospital pueda tener para familiares acompañantes de pacientes, pasando por las consultas externas y las relaciones académicas con universidades u otras redes de hospitales. La abundancia de sistemas informáticos puede llevar, efectivamente, a medidas y salvaguardas distintas entre ellos, cosa que no sucederá en una pyme de única actividad.

Si bien la EIPD es anterior a la actividad y, por tanto, al RAT, no es imprudente asumir que el RAT la contenga de entrada. Así, se indicará en el RAT si el tratamiento es de alto riesgo o no. En caso afirmativo, el resultado de la EIPD, especialmente el riesgo resultante o residual, y la ubicación de la misma. Y si el resultado de la EIPD no consigue mitigar el riesgo, hay que acudir a consulta previa a la Autoridad de Control (RGPD 36) que puede prohibir el tratamiento.

Ese sí o no en cuanto al alto riesgo debe venir acompañado de un documento que refleje cómo se ha llegado a esa conclusión. Proceso que, si bien puede adquirir varias formas, idealmente debe adherirse a criterios legales o doctrinales. Abunda en ello las listas de tratamientos donde la EIPD será obligatoria (establecida en RGPD 35.5, emitida por la AEPD el día 6 de Mayo de 2019) y las listas donde no será necesaria (RGPD 35.4). Además de las listas, otras disposiciones y recomendaciones (Comité Europeo de Protección de Datos Directriz WP248) permiten una aproximación común. Asimismo, la LOPD 28.2 aporta criterios a tener en cuenta, similares en parte a las del Comité Europeo.

Empleados y personas autorizadas

Es también recomendable incluir en el RAT a los empleados que gestionan cada tratamiento; en término empresarial, el propietario del proceso. En una pyme puede haber desde uno a cuatro (recursos humanos, administración general, gerencia, área técnica), aumentando el número si hay diversas sedes o mayor especialidad funcional.

Esos empleados serán receptores de las políticas de privacidad, documentos informativos, difundirán a otros empleados la operativa adecuada en cuanto a protección de datos. Cuando se produzca un cambio en el proceso o un incidente, es recomendable saber quién debe ser el interlocutor.

Hay, además, personas autorizadas que gestionarán datos personales como parte de su trabajo sin que tengan mayores responsabilidades. Al igual que los gestores mencionados, esas personas están sujetas a confidencialidad sobre la información que conozcan de otras personas, incluso después de finalizar su relación contractual. Se pueden considerar personas autorizadas también a autónomos externos que acceden a datos personales únicamente cuando están en la empresa y no los conservan para sí en ninguna forma.

Empresas externas

Las empresas externas que tienen acceso sustantivo a datos personales por su relación con el responsable son encargados de tratamiento (gestor administrativo, empresas de mantenimiento de software). Si el acceso a tales datos es accidental, no deben ser considerados encargados y será suficiente un contrato o clausulado de confidencialidad (personal de limpieza o mantenimiento informático de hardware in-situ, sin traslado de dispositivos que contengan datos).

En casos donde el acceso comporta obligaciones adicionales o, por otros motivos prácticos, esos accesos pueden derivar en un nuevo responsable de tratamiento (Agencia Tributaria, Seguridad Social, Asesor fiscal, Auditor de Cuentas, empresas que ejercen vigilancia de la salud, bancos, …). Esa circunstancia debe comunicarse a los interesados.

Encargados de tratamiento

Los encargados de tratamiento son las empresas externas más relevantes y parte sustancial del tráfico de datos personales. Frecuentemente, los encargados recurren a otros encargados (antes conocidos como sub-encargados) y se forma una cadena. El gestor, por ejemplo, tendrá los datos necesarios para la nómina, los cuales residirán en una aplicación informática, probablemente de un tercero que puede alojar software y datos en un proveedor especializado o en un centro de datos externo. Se puede llegar así a que los datos terminen viajando en servidores ubicados en cualquier parte del mundo, lo cual nos llevaría a Transferencias Internacionales de Datos.

El RAT debe contemplar las categorías de destinatarios, no ya del primer e inmediato eslabón, sino de todos los subsiguientes. Situación que puede no ser sencilla de averiguar pero que, comprensiblemente, afecta a los datos personales. Por ello, debe ser conocida para mantener el control sobre su flujo de datos y el interesado debe estar preceptivamente informado.

Es más, el responsable debe conocer la identidad de cada uno de los encargados de la cadena, aunque esa información no figure en el contenido mínimo del RAT. Pero es conveniente registrarlo también. Y los encargados están obligados a informar aguas arriba de los cambios de sus otros encargados aguas abajo, cambios a los que se puede oponer el responsable. Estas circunstancias pueden ser motivo suficiente para cambiar de proveedor inmediato (el primer encargado), ya que mantener datos en una cadena no fiable conlleva riesgo.

Las cadenas de encargados suelen ser tanto más largas cuanto más pequeña es la pyme, y pueden terminar en empresas gigantescas (google, amazon, facebook) o excesivamente alejadas (mailchimp, dropbox) donde no hay negociación contractual posible y cuyos servidores pueden residir en cualquier lugar hoy y en cualquier otro al día siguiente.

Por tanto, es necesario que el responsable tenga el máximo conocimiento posible de la cadena y, por ello, la elección del primer eslabón (el gestor administrativo de nóminas, por ejemplo), debe ser meticulosa. El RGPD impone otras y firmes obligaciones a la relación entre responsable y encargado. A efectos del RAT es suficiente mencionar el tipo de encargado, pero ya que el responsable debe conocer quién es quién, será adecuado reflejar ese detalle.

Entre los procesos que se derivan del RAT, en este caso nos encontramos con el contrato de encargo escrito, de enorme importancia y, frecuentemente, dificultad. Se puede indicar en el RAT su ubicación.

Transferencias Internacionales de Datos – TID

Forman parte del contenido mínimo. Se incurre en una TID si los datos personales se envían a un país fuera del Espacio Económico Europeo (Unión Europea más Liechtenstein, Islandia, Noruega) o de una Organización Internacional (una embajada, la Organización Mundial del Turismo (Madrid), Union for the Mediterranean (Barcelona),….

En ese caso la TID es legítima si concurren ciertos supuestos (hay cuatro: decisión de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes, y excepciones.

El RAT deberá contener esa información, países u organizaciones de destino (incluyendo las ulteriores), y mecanismo que garantiza la licitud de la transferencia, junto con la ubicación de la documentación que lo evidencia.

Perfiles y decisiones automatizadas

En protección de datos, posiblemente el factor con más evolución en el futuro es la realización de perfiles y las decisiones automatizadas que se basan en esos perfiles. También el área que plantea más interrogantes.

Indicar si un tratamiento conlleva creación de perfiles, por un lado, y decisiones automatizadas, por otro, es una indicación de riesgo que debería estar presente en el RAT, si bien ello no será habitual en pymes e instituciones de pequeña o media dimensión.

El RGPD menciona las decisiones automatizadas como punto de controversia sólo en el caso que causen efectos jurídicos o significativos sobre los interesados. En este último punto, los efectos significativos, se encuentran, no obstante, la denegación de servicios y la discriminación (por ejemplo, por precio). Factores todos ellos a considerar, llegado el caso.

¿Qué queda fuera del RAT?

Hay documentación que suele ser común a todos los tratamientos y no es útil que esté en el RAT. Cabe mencionar el ejercicio de derechos, los documentos de información al interesado (que conforman la evidencia de que se ha cumplido el deber de informar, fundamental en protección de datos), los códigos de conducta (si los hay), la documentación para informar de brechas de seguridad (que puede construirse ad-hoc, aunque es recomendable disponer de una plantilla por si llega el caso).

El RAT final

Con los anteriores apuntes, el RAT crece significativamente.

La presentación final, a partir del soporte informático en que se haya creado (usualmente hoja de cálculo o, idealmente, base de datos con inclusión de documentos), debería ser modulable para ofrecer distintas vistas, dependiendo de quién lo vaya a consultar.

Disponer del RAT no agota las tareas necesarias para cumplir. Como es patente, es la medida más visible y recoge en un único documento el resumen de la actividad, pero no la única.

Antonio March | amc@datium.eu
Mayo 2019

Imagen : Peter Heeling – Skitterphoto

Resumen RAT de responsable

El cuadro siguiente resume el contenido del artículo

Para cada epígrafe se indica si es un concepto de cabecera (perteneciente a la organización) o de detalle (pertenece a cada tratamiento)

También se indica las veces que puede aparecer el concepto en el RAT (bien en cabecera o bien en detalle):

  • 1 obligatorio, un único valor
  • 0-1 puede haber un valor, o no
  • 0-V puede haber uno o más valores, o ninguno
  • 1++ obligatorio, al menos un valor

El cuadro tiene dos áreas diferenciadas, para el contenido mínimo (RGPD 30.1) y para el contenido adicional propuesto en el artículo

Abreviaturas

3P Terceros países (fuera del Espacio Económico Europeo)

ADM Decisiones automatizadas

CoRT Corresponsable de Tratamiento

DPD Delegado de Protección de Datos

EIPD Evaluación de Impacto en Protección de Datos

IL Interés legítimo

OI Organizaciones Internacionales

RAT Registro de Actividades de Tratamiento

RT Responsable de Tratamiento

TID Transferencias Internacionales de datos

Resumen contenido RAT
Seguir Antonio March:

Últimas publicaciones de