Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.

FACILITA, una ayuda

Análisis de riesgos

Para poder aplicar correctamente el Reglamento General de Protección de Datos europeo, empresas y profesionales van a tener que dedicar algún tiempo a la reflexión, y al análisis de su situación en lo que a alcance, riesgos y medidas de seguridad sobre protección de datos se refiere.

En algunos casos bastará con un análisis genérico y somero (del que debería dejarse al menos alguna constancia escrita), y en otros habrá que llegar a conceptos más formales como la Evaluación de Impacto prevista en el artículo 35 del Reglamento citado.

Con objeto de aproximarse a ese análisis y determinar si procede o no realizarlo, la Agencia Española de Protección de Datos ha publicado hace poco una herramienta en su web (https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php ), llamada FACILITA RGPD, que está pensada para empresas y profesionales que tratan datos personales de escaso riesgo para los derechos.

La herramienta es gratuita y de uso y acceso muy simples.

Sirve para supuestos de tratamiento de bajo riesgo (datos de client es, proveedores, trabajdores…) y por tanto no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.

¿Qué proporciona además de una orientación para saber si tenemos que realizar un análisis de riesgo o no? Pues una vez determinado que no se necesita ese análisis de riesgo, FACILITA (tras introducir los datos del profesional o entidad), elabora los siguientes documentos que se exigen por el Reglamento Europeo:

1º. Cláusulas informativas y textos (que se han de firmar por trabajadores, clientes, contactos, prestadores de servicio, etc…).

2º. Registro de actividades de tratamiento.

3º. Un anexo con medidas de seguridad orientativas consideradas mínimas.

En algunos casos, la documentación emitida será más que suficiente. En otros, no.

Por ello, la herramienta pretende ser orientativa, pero no significa que su uso nos garantice el cumplimiento de la legislación al 100%.

 

Publicidad no deseada

La Agencia Española de Protección de Datos creó hace poco una web sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares como a empresas y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

En resumen, esto es lo que nos sugiere la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online): Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían: marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios: muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el nuevo Reglamento Europeo de Protección de Datos es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar: El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición: Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación: Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas: Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos: Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.