MARKETING, INTERNET & COPYRIGHT

Newsletter

Riestra Abogados. 16 de febrero de 2018

Reglamento (UE) 2016/679

A partir del 25 de mayo de 2018 será de aplicación el nuevo Reglamento (UE) 2016/679 de Protección de Datos. En líneas generales podemos concluir que el Reglamento supone un cambio de paradigma que afecta entre otros a las obligaciones en materia de protección de datos a las que nos tiene acostumbrados la todavía vigente LOPD.

Uno de los principales objetivos del Reglamento (UE) 2016/679 es eliminar la carga burocrática a la que viene obligado el responsable del tratamiento bajo la LOPD, que conforme al artículo 26, requiere al responsable del tratamiento a comunicar a la Agencia Española de Protección de Datos los ficheros que contengan datos de carácter personal empleados en su actividad, describiendo qué datos se recogen y con qué fin, de quién se recogen, qué medidas de seguridad se van tomar, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

Este requisito imprescindible persigue varios objetivos, el primero, permite a los afectados conocer quiénes son los responsables de ficheros; también permite a la AEPD obtener información sobre los tratamientos que se producen en España; y por último, sirve para tener una primera toma de contacto con la LOPD a modo de concienciación. De este modo la comunicación del fichero supone un control previo del tratamiento de  los datos y supone igualmente una primera toma de contacto con la normativa de protección de datos de carácter personal.

Con el nuevo Reglamento (UE) 2016/679 de Protección de Datos se busca simplificar el cumplimiento y reducir las trabas burocráticas; se elimina por tanto, la obligación de notificar ficheros a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

A cambio, las empresas tendrán que mantener “un registro de actividades de tratamiento” de carácter interno de conformidad al artículo 30 del Reglamento (UE) 2016/679 y al artículo 31 del Proyecto de Ley orgánica de Protección de Datos. Esto no es más que un registro de todas y cada una de las actividades de tratamiento efectuadas bajo su responsabilidad.

El responsable y el encargado del tratamiento se encuentran por tanto, nuevamente, ante la necesidad de realizar un ejercicio de descripción del tratamiento, de sus fines, a quién o quiénes se comunican los datos, si se llevará a cabo una transferencia internacional y qué medidas técnicas y organizativas se aplicará.

Esta obligación responde al principio básico sobre el que se rige el nuevo Reglamento, exigiendo una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que llevan a cabo. De ahí que se apliquen una serie de medidas de responsabilidad activa, entre las que se encuentra la obligación de llevar a cabo el citado registro de actividades de tratamiento.

El objetivo final es que tanto el responsable, como el encargado del tratamiento, lleven un control exahustivo de los tratamientos que efectúen, detallando las medidas de seguridad que aplicarán a tales tratamientos.

¿Quiénes están obligados?

De conformidad a lo dispuesto en el artículo 30 del Reglamento (UE) 2016/679 y el artículo 31 Proyecto de Ley orgánica de Protección de Datos, el responsable y el encargado del tratamiento vendrán obligados a tener un registro de las actividades del tratamiento.

¿Quiénes están exentos de esta obligación?

Se introduce, para esta obligación, un umbral de mínimos para aquellas organizaciones que cuentan con menos de 250 trabajadores, y por tanto estarán exentas de cumplir con el registro de actividades del tratamiento.

No obstante, no estarán exentas aquellas organizaciones que, aunque empleen a menos de 250 trabajadores, realicen un tratamiento de datos que:

a) pueda entrañar un riesgo para los derechos y libertades de los interesados

b)        no sea ocasional,

c) los datos tratados se incluyan en categorías especiales de datos, entre ellas: opiniones políticas, las convicciones religiosas o filosóficas, afiliación sindical, datos relativos a la salud o vida sexual o la orientación sexual de una persona física y los datos relativos a condenas e infracciones penales.

Contenido mínimo del registro de actividades del tratamiento

El registro llevado a cabo por el responsable del tratamiento deberá contener:  

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional;

f) cuando sea posible:

• los plazos previstos para la supresión de las diferentes categorías de datos;

• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

El registro llevado a cabo por el encargado del tratamiento deberá contener:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias internacionales, incluida la identificación del país u organización internacional;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Otras obligaciones

Los registros deberán constar por escrito, sirviendo el formato electrónico. Además los obligados deberán mantener actualizado el mismo.

Asimismo, los responsables y encargados del tratamiento quedan obligados a ponerlo a disposición de la AEPD cuando así lo solicite, de este modo se facilitará la labor de supervisión de la Agencia.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.

Consecuencias ante el incumplimiento de la obligación de registro

Conforme al artículo 83.4 del Reglamento (UE) 2016/679 y al artículo 73 del Proyecto de Ley Orgánica de Protección de datos, se considerará infracción grave no disponer del registro de actividades de tratamiento.

Tendrá como sanción una multa administrativa de hasta 10.000.000.- € o de cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, lo que resulte mayor en cuantía.

Recomendaciones

Para enfrentarnos al registro de actividades de tratamiento, podemos tomar como punto de partida  la copia de la inscripción de ficheros realizada ante la Agencia Española de Protección de Datos (AEPD) sirviendo esto como base  para la realización del registro de actividades.

Recientemente la AEPD ha puesto a nuestra disposición un procedimiento de Solicitud de Copia de la Inscripción de Ficheros que se encuentra en su página web www.agpd.es.

De este modo y de forma gratuita, el responsable puede obtener la relación de los ficheros inscritos, la copia de la resolución de Inscripción y copia del contenido de la inscripción del fichero en formato EXCEL o XML.

Por último, es importante organizar el registro de actividades de tratamiento conforme a las operaciones de tratamiento que comparten la misma finalidad común de todas ellas, por ejemplo, “gestión de clientes”, “gestión RRHH y nóminas” etc.

El Registro de actividades del tratamiento en el Reglamento Ruropeo de Proteccion de Datos

Suscribase a nuestro Newsletter y reciba periódicamente novedades de marketing legal.