Con el objetivo de ayudar a los responsables del tratamiento a comprender y cumplir el requisito exigido por el Reglamento General de Protección de Datos (RGPD) de llevar sus registros de actividades de tratamiento de manera actualizada, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente sus propios registros con el fin de proporcionar más información al respecto.
Si bien esta iniciativa, a priori, parece ir más orientada a las organizaciones que realizan tratamientos de datos de alto riesgo, la AEPD ha puesto asimismo un instrumento de registro a disposición de las organizaciones que tratan datos de menor riesgo.
A continuación indicaré algunos de los principales registros de la AEPD que pueden ser aplicables a la mayoría de las organizaciones. No obstante, cada compañía deberá, evidentemente, adaptar sus registros según la operativa y negocio que desarrolle.
1. Atención a los derechos de las personas
a) Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
b) Fines del tratamiento: Atender las solicitudes de los ciudadanos en el ejercicio de los derechos que establece el Reglamento General de Protección de Datos.
c) Colectivo: Personas físicas que reclaman ante la AEPD.
d) Categorías de Datos: Nombre y apellidos, dirección, firma y teléfono
e) Categoría destinatarios: Defensor del Pueblo.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Se conservarán durante el tiempo necesario para resolver las reclamaciones. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos
2. Encuestas y estudios
a) Base jurídica: RGPD: 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
b) Fines del tratamiento: Gestión de las consultas y estudios realizadas desde la AEPD con objeto de verificar y promover el conocimiento y cumplimiento de la normativa de protección de datos, cuya supervisión tiene atribuida a la AEPD.
c) Colectivo: Personas físicas, incluidas las representantes de personas jurídicas, que participan en las iniciativas propuestas por la AEPD.
d) Categorías de Datos: Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, firma y teléfono y puesto en entidad a la que representa.
e) Categoría destinatarios: No están previstas comunicaciones de datos.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Los datos de carácter personal se suprimirán una vez la campaña de verificación del cumplimiento hubiera concluido.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos
3. Formación
a) Base jurídica: RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. Y RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
b) Fines del tratamiento: Gestión y control de las actividades formativas que organiza la AEPD en su función de promoción del derecho fundamental a la protección de datos: profesores, alumnos, alumnos en prácticas y asistentes a cursos de la Agencia.
c) Colectivo: Profesores y alumnos que participan en los cursos de formación de la AEPD.
d) Categorías de Datos: Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono, imagen, firma. Detalles de empleo: entidad u organismo y puesto que ocupa. Datos académicos y profesionales: formación, titulaciones. Datos económico-financieros: datos bancarios.
e) Categoría destinatarios: Los datos de los profesores podrán aparecer reflejados en folletos o en la Web de la AEPD como parte de la divulgación de las actividades formativas. Los datos de los profesores de actividades remuneradas serán comunicados a las entidades financieras, Agencia Estatal de la Administración Tributaria, Intervención General de la Administración del Estado, Tribunal de Cuentas.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos de los profesores se conservarán para futuras acciones formativas, salvo que soliciten su supresión. En el caso de actividades remuneradas se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos
4. Gestión de brechas de seguridad
a) Base jurídica: RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento y Ley 9/2014, de 9 de mayo, General de Telecomunicaciones
b) Fines del tratamiento: Gestión y evaluación de las brechas de seguridad notificadas por los responsables de tratamiento.
c) Colectivo: Personas físicas, incluidas las representantes de personas jurídicas.
d) Categorías de Datos: Nombre y apellidos, dirección, firma y teléfono y puesto en la entidad a la que representa.
e) Categoría destinatarios: Fuerzas y cuerpos de seguridad del Estado. Autoridades de control pertenecientes a la UE en el marco del desarrollo de las acciones conjuntas que se establecen el Título VII del RGPD. Equipos de respuesta ante emergencias informáticas (CERT) del Centro Criptológico Nacional y de los previstos en la Directiva 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos.
5. Gestión de recursos humanos
a) Base jurídica: RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales y RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Asimismo, la Ley 30/1984, de 2 de agosto, de medidas para la reforma de la Función Pública, el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba la Ley del Estatuto Básico del Empleado Público y el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
b) Fines del tratamiento: Gestión de personal, funcionario y laboral, destinado en la AEPD. Expediente personal. Control horario. Incompatibilidades. Formación. Planes de pensiones. Acción social. Prevención de riesgos laborales. Emisión de la nómina del personal de la Agencia, así como de todos los productos derivados de la misma. Gestión económica de la acción social y obtención de estudios estadísticos o monográficos destinados a la gestión económica del personal. Gestión de la actividad sindical en la AEPD.
c) Colectivo: Personal laboral y funcionario destinado en la AEPD y de sus familiares.
d) Categorías de Datos: Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, número de Seguridad Social/Mutualidad, dirección, firma y teléfono. Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnósticos), afiliación sindical, a los exclusivos efectos del pagos de cuotas sindicales (en su caso), representante sindical (en su caso), justificantes de asistencia de propios y de terceros. Datos de características personales: Sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos de circunstancias familiares: Fecha de alta y baja, licencias, permisos y autorizaciones. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y carrera administrativa. Incompatibilidades.Datos de control de presencia: fecha/hora entrada y salida, motivo de ausencia. Datos económico-financieros: Datos económicos de nómina, créditos, préstamos, avales, deducciones impositivas baja de haberes correspondiente al puesto de trabajo anterior (en su caso), retenciones judiciales (en su caso), otras retenciones (en su caso). Datos bancarios. Otros datos: datos relativos a la acción social, datos sobre sanciones en materia de función pública.
e) Categoría destinatarios: Instituto Nacional de Administración Pública, Registro Central de Personal, Entidad a quien se encomiende la gestión en materia de riesgos laborales. Instituto Nacional de la Seguridad Social y mutualidades de funcionarios. Entidad gestora y depositaria del Plan de Pensiones de la Administración General del Estado. Tesorería General de la Seguridad Social. Dirección General de Costes de Personal y Pensiones Publicas. Colegios de Huérfanos. Organizaciones sindicales. Entidades financieras. Agencia Estatal de Administración Tributaria. Intervención General de la Administración del Estado y Tribunal de Cuentas.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos
6. Provisión de puestos de trabajo
a) Base jurídica: RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales y RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Asimismo, el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba la Ley del Estatuto Básico del Empleado Público y el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
b) Fines del tratamiento: Selección de personal y provisión de puestos de trabajo mediante convocatorias públicas.
c) Colectivo: Candidatos presentados a procedimientos de provisión de puestos de trabajo.
d) Categorías de Datos: Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, dirección, firma y teléfono. Categorías especiales de datos: datos de salud (discapacidades). Datos de características personales: Sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y carrera administrativa.
e) Categoría destinatarios: Al Registro Central de Personal, la Dirección General de Función Pública y el Boletín Oficial de Estado.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos
7. Registro de los delegados de protección de datos (DPD)
a) Base jurídica: RGPD: 6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
b) Fines del tratamiento: Gestión de notificaciones de delegados de protección de datos designados de acuerdo al artículo 37 del RGPD, que sirven de punto de contacto con la AEPD.
c) Colectivo: Delegados de protección de datos y de las personas de contacto cuando el delegado sea una persona jurídica y personas físicas que efectúan la notificación de los delegados de protección de datos a la AEPD.
d) Categorías de Datos: Personas que realizan la notificación y personas físicas delegados de protección de datos:Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, firma y teléfono. El puesto en entidad a la que representa. Personas de contacto en el caso de que el Delegado de Protección de Datos sea una entidad jurídica privada o entidad pública: Nombre y apellidos, dirección, teléfono.
e) Categoría destinatarios: Publicación en la web de la AEPD y Autoridades de control pertenecientes a la UE en el marco del desarrollo de las acciones conjuntas que se establecen el Título VII del RGPD.
f) Transferencias Internacionales: No están previstas transferencias internacionales de los datos.
g) Plazo supresión: Cuando el cese como DPD de la entidad que representa haya sido comunicado y sus datos hayan dejado de ser necesarios para determinar responsabilidades en relación con su actuación profesional.
h) Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la AEPD.
i) Entidad responsable: Agencia Española de Protección de Datos.
NOTA: A fecha de la publicación del presente artículo el link directo a la página web de la AEPD con toda la información sobre sus registros da error. No obstante, si estáis interesado en tener todo el registro que días atrás publicó la AEPD, no dudéis en escribirme y os lo proporcionaré todo completo encantada.
