Obligaciones en materia de protección de datos en las relaciones laborales

Registro de actividades de tratamiento (RAT)

El contenido del considerando 89 RGPD, señala:

«La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial»

Como hemos anticipado, el registro de actividades de tratamiento sustituye a la obligación de inscribir ficheros, de forma que actualmente el RGPD viene a exigir que lleve un registro de las actividades de tratamiento. Pero además, debemos señalar que resultará imprescindible que este registro de actividades sea actualizado constantemente, por cuanto que, conforme señala el artículo 30 del Reglamento, "El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición de la autoridad de control que lo solicite».

Una de las novedades que presentaba el RGPD era la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación de comunicar a las autoridades de control la existencia de "ficheros" de tratamiento de datos personales.

El tratamiento de datos personales,  debe plasmarse en la obligación de cada organización de construir y mantener actualizado un registro con las actividades de tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla.

Este registro de actividades de tratamiento deberá contener toda la información indicada a continuación:

• el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
• los fines del tratamiento;
• una descripción de las categorías de interesados y de las categorías de datos personales; las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
• en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
• cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

La forma en que se estructurará el registro será decidida por el responsable o encargado, ya que el Reglamento no impone una estructura específica, aunque si deberán constar por escrito (inclusive en formato electrónico). Ahora bien, la Agencia Española de Protección de Datos (en adelante AEPD) ha señalado que la organización del registro de actividades de tratamiento puede estructurarse del siguiente modo:

- se puede partir de los ficheros que actualmente tuviesen notificados en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos, para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar, o bien

- unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica e idéntico colectivo de afectados (por ejemplo, gestión de clientes, gestión contable, o gestión de recursos humanos y nóminas).

Ahora bien, sin perjuicio de que este registro constituye una de las novedades más llamativas del RGPD y de que -incuestionablemente- supone una suerte de mecanismo de "rendición de cuentas", resulta necesario señalar que el propio Reglamento recoge expresamente una excepción a esta novedosa obligación. Así, estarán exentas de realizar este registro las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. De esta forma resultan liberadas de esta obligación impuesta por el RGPD las empresas que cuenten con menos de 250 personas trabajando.

Por su parte en el artículo 31 de la LOPDGDD, se remite al contenido del artículo del Reglamento Europeo, aunque indica que el Registro

"...podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro."

Además, se añade la obligación de que las entidades incluidas en el artículo 77.1 de esta LOPDGDD, deban hacer público un inventario de su tratamiento en el que constará toda la información establecida en el art. 30 del RGPD. Este inventario deberá ser accesible por medios electrónicos.

En cuanto a las infracciones, el no disponer del registro de actividades o no ponerlo a disposición de la autoridad de protección de datos que lo solicite, se considerará como una infracción grave (artículo 73LOPDGDD), y en caso de que dicho Registro no incorpore toda la información exigida por el RGPD, se considerará una infracción leve.

Análisis de riesgos

Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas.

En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

Así, a diferencia de lo que sucedía en la legislación derogada, en la que se determinaba las medidas aplicables en función del tipo de datos objeto de tratamiento, en el nuevo Reglamento, las medidas técnicas y organizativas serán establecidas por los responsables y encargados en función de los riesgos detectados a través de la realización del análisis previo. El análisis de riesgos, por tanto, tiene por objeto detectar riesgos potenciales asociados al tratamiento de los datos antes de que estos se produzcan -es decir desde el diseño- para adoptar las medidas que garanticen la protección de los datos personales.

En este sentido, el análisis de los riesgos deberá realizarse tomando en consideración diversas variables. Así lo señala el considerando 76 estableciendo que

“La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto”

Es fundamental, por tanto, realizar un análisis previo para determinar -de forma preliminar- el nivel de riesgo al que puede estar expuesto el tratamiento y en función de los resultados tomar las decisiones adecuadas en base a ellos. En consecuencia, las medidas a implementar por responsables y encargados dependerán del resultado de ese necesario análisis de riesgos de forma que:

- Si como resultado del análisis se concluye que las actividades de tratamiento no están expuestas a riesgos relevantes, no resultará necesario realizar la denominada Evaluación de impacto en la Protección de Datos. En todo caso, será necesario documentar adecuadamente que se ha llevado a cabo este análisis previo y los motivos por lo que se ha concluido que el tratamiento de los datos presenta una baja exposición al riesgo. En estos supuestos, las medidas organizativas y técnicas -destinadas, como sabemos, a garantizar los derechos y libertades de los interesados- podrán implementarse aplicando un enfoque de mínimos atendiendo a que el nivel de riesgo al que está expuestas las actividades de tratamiento no resulta elevado.

- Si del resultado del análisis previo se concluye que el tratamiento puede suponer un riesgo alto para los derechos y las libertades de las personas físicas, entonces resultará necesario realizar la Evaluación de Impacto en la Protección de Datos. En este sentido, el considerando 75 enumera una serie de factores o supuestos asociados a riesgos para los derechos y libertades de los interesados, sobre los que posteriormente volveremos a incidir cuando analicemos el proceso de evaluación de impacto en la protección de Datos personales. En todo caso, debemos señalar que la evaluación del riesgo no tiene un carácter definitivo, por cuanto que resulta conveniente revisar las medidas que en cada caso se hayan adaptado, para proceder a actualizarlas y adaptarlas en cada caso, si ello resultase necesario.

La gestión de riesgos se puede dividir en tres etapas diferenciadas: La identificación, la evaluación y el tratamiento de los riesgos (Guía paso a paso para la implementación de la protección de datos. Editorial Colex)

Dentro un análisis de riesgo, por tanto, el primer paso es la contextualización del escenario de riesgo, lo cual guarda relación directa con la descripción del ciclo de vida de los datos y la identificación de las amenazas que pueden afectar a la privacidad y que van ligadas al tratamiento de los datos. Dicho análisis nos ayudará a averiguar las medidas más eficaces y necesarias para mitigar o evitar los riesgos asociados a los tratamientos de datos de carácter personal. Si al efectuar el análisis, o durante los pasos previos, se llega a la conclusión de que los tratamientos o alguno de los tratamientos pueden entrañar un riesgo elevado o alto para los derechos y libertades de las personas físicas, será necesario realizar una Evaluación de Impacto. 

Evaluación de impacto (EIPD)

A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (art. 84RGPD). El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el ámbito, el contexto y los fines del tratamiento de datos, así como los orígenes del mismo. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el Reglamento.

Así, la AEPD ha definido la "Evaluación de impacto" (en adelante EIPD) como una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.

La obligación de realizar una EIPD corresponderá al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el asesoramiento del delegado de protección de datos, y deberá llevarse a cabo "antes del tratamiento"

Sin perjuicio de que - como hemos señalado- la evaluación de impacto deberá de realizar cuando se detecte el tratamiento de datos puede implicar un riesgo elevado para los derechos y libertades de las personas físicas, el Reglamento establece supuestos en los cuales es obligatorio realizar la Evaluación sin necesidad de realizar un análisis de riesgos. Por tanto, resulta necesario, en primer lugar, determinar los supuestos en los que resulta necesario llevar a cabo una EIPD.

¿Cómo se determina la necesidad de realizar una evaluación de impacto?

En primer lugar, con carácter general, cuando resulte probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas. En este contexto, como criterio general, la introducción en el proceso de tratamiento de datos personales de tecnologías emergentes, o de nuevos usos de las tecnologías, es particularmente relevante al tomar la decisión de llevar a cabo la EIPD. Resulta necesario, por otra parte, tener presente que la evaluación no es obligatoria para todos los tratamientos, sino sólo para los que comportan un riesgo elevado o especialmente relevante, que se traduce en la expresión "alto riesgo".

Asimismo, y conforme se determina en el apartado 3º del artículo 35 resulta obligatorio hacer la EIPD, en concreto en caso de:

• evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
• tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
• observación sistemática a gran escala de una zona de acceso público.

Un tercer supuesto en el que resultará obligatorio realizar la EIPD, es el establecido en el apartado 4º del art. 35. En este precepto, se produce una remisión a la concreción que cada autoridad de control pueda realizar de los tratamientos en los que resultará necesario llevar a cabo la EIPD. Si el tratamiento aparece en la lista de tratamientos que requieren la EIPD, se deberá documentar la casuística concreta en el informe de análisis de la necesidad de realizar la EIPD y proceder a iniciar la misma. Por último, el articulo 35 citado, también contempla la posibilidad de que la autoridad de control pueda establecer y publicar una lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

Con respecto a las infracciones, en caso de tratamiento de datos personales sin haber llevado a cabo la EIPD en los supuestos en que sea exigible, supondrá una infracción considerada grave.

En todo caso, la necesidad de realizar una EIPD no se circunscribe exclusivamente a los supuestos mencionados, sino que, en los casos en que el tratamiento pueda presentar riesgos elevados, resultará necesario realizar una EIPD. Incluso, en aquellos casos en los que exista duda acerca de la pertinencia o no de llevar a cabo una EIPD, resulta recomendable la realización de la misma. En este sentido, resultará imprescindible elaborar un informe donde se describan los criterios seguidos y los argumentos en los que se basa la conclusión para determinar si es necesario, o no, realizar dicha evaluación de impacto.

Según el Grupo de Trabajo del artículo 29 (en adelante, el «GT29»), 

"Por razón de buenas prácticas, una EIPD debe ser continuamente revisada y reevaluada con regularidad. Por tanto, incluso si el 25 de mayo de 2018 no se requiere una EIPD, será necesario, en el momento oportuno, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva".