Guía de la herramienta Registro de las actividades de tratamiento

El Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) básicamente regula cómo se deben tratar legalmente los datos personales (incluida la forma en que se recopilan, usan, protegen o se interactúa con ellos en general). Tiene como objetivo fortalecer la protección de datos para todas las personas cuyas información personal entre dentro de su ámbito de aplicación, devolviéndoles el control de sus datos personales.

Sin embargo, implementar las normas contenidas en la ley en la práctica puede ser todo un desafío técnico. Esto es especialmente cierto para la gestión de la privacidad interna. Los usuarios deben poder describir qué datos recopilan, para qué fines, las partes involucradas y algunos detalles adicionales de toda la empresa, incluidos los datos de los empleados.

Si necesitas más información general sobre el RGPD, consulta nuestra guía completa del RGPD.

Esta guía tiene como objetivo guiarte paso a paso a través de nuestra herramienta de gestión de la privacidad interna.

Ten en cuenta que, aunque el RGPD es una razón muy común para esforzarse más en la gestión de la privacidad interna, nuestra herramienta no está diseñada exclusivamente para su aplicación bajo el RGPD. También se puede utilizar para la gestión de la privacidad interna en general, incluso por empresas que no tienen ningún usuario/cliente en la UE.

Continúa leyendo o consulta nuestro tutorial completo (en inglés).

¿Mi organización debe mantener un registro de las actividades de tratamiento conforme al RGPD? 

El RGPD exige que tanto los responsables como los encargados del tratamiento de datos mantengan un registro de las actividades de tratamiento. Dicho registro debe realizarse por escrito, incluso en formato electrónico. El Registro de las actividades de tratamiento ha sido diseñado específicamente para que los responsables y los encargados del tratamiento cumplan con este requisito.

El registro de las actividades de tratamiento debe ponerse a disposición de la autoridad de control si esta lo solicita.

¿Qué significa el concepto de área?

Las áreas son perímetros dentro de los cuales las actividades de tratamiento de datos son homogéneas. Algunos ejemplos de áreas son tu sitio web, app móvil, tiendas físicas, empleados, contratación, instalaciones de fabricación, etc. Puedes proporcionar una descripción de cómo se tratan los datos para cada una de ellas, como probablemente ya estés haciendo con nuestro generador de políticas de privacidad o el generador de términos de servicio para cualquier sitio determinado. En resumen, las áreas son réplicas de la entidad “sitio” que están conectadas entre sí y que puedes crear a voluntad.

¿Cómo se definen los miembros/roles?

En tu cuenta, puedes añadir miembros, que puedes asociar con un rol específico (como responsable del tratamiento, encargado del tratamiento, etc.) o un área específica.

Puedes elegir el rol que tiene un miembro determinado de entre de las siguientes opciones:

• Responsable del tratamiento: hace referencia a cualquier persona o entidad legal que determina los fines y medios del tratamiento de datos personales.
• Miembro de la organización del responsable del tratamiento: consulta la lista de ejemplos a continuación
• Encargado del tratamiento: hace referencia a cualquier persona o entidad legal que trata datos personales por cuenta del responsable del tratamiento.
• Interesado (también llamado usuario): hace referencia a cualquier persona cuyos datos personales están siendo tratados por un responsable o encargado del tratamiento.

Por ejemplo, una empresa de internet puede recopilar información de sus usuarios a través de su sitio web y almacenarlos en un servicio en la nube proporcionado por un tercero. En este caso, la empresa de internet sería el responsable del tratamiento y la organización encargada del servicio en la nube sería el encargado del tratamiento.

Puedes considerarlo básicamente como una libreta de direcciones. Todos los titulares actuales también son miembros.

Importante: los valores predeterminados que introduces en la sección de miembros del área se aplican por defecto a cada servicio.

Los siguientes miembros están disponibles por defecto:

• Empleados
• Usuarios
• Usuarios de la UE
• Departamento de Marketing
• Departamento de Recursos Humanos
• Departamento Financiero
• Departamento de Atención al Cliente
• Departamento de Ventas
• Departamento de I+D
• Departamento de Desarrollo
• Departamento de Producto
• Departamento Jurídico
• Departamento de Relaciones Públicas
• Departamento de Inteligencia

¿Cómo puedo configurar servicios con los nuevos campos?

Tu política de privacidad debe adaptarse a las actividades de recopilación de datos de tu web o app. Para ello, tienes que añadirle servicios.

Los servicios generalmente se clasifican en dos categorías distintas:

• Servicios relacionados con tus actividades de recopilación de datos (por ejemplo, formularios de contacto)
• Servicios relacionados con las actividades de recopilación de datos de terceros (por ejemplo, Google Analytics)

Cuando estés decidiendo qué servicios añadir a tu política de privacidad, puede que te ayude hacerte las siguientes preguntas:

• ¿Qué datos de los usuarios recopilo y cómo lo hago?
  (por ejemplo, formularios de newsletters, de contacto, sistemas de comentarios)
• ¿Qué servicios de terceros uso en mi web/app? Probablemente, estos servicios también traten datos de los usuarios de alguna manera, por lo que debes incluirlos en tu política.

En la siguiente sección, repasaremos los nuevos campos que hemos añadido para facilitar tu gestión de privacidad interna (puedes encontrar estos campos en la ventana de personalización que aparece cuando añades un servicio). Esto se llevará a cabo paso a paso para poder ayudarte a elegir la mejor opción para tu caso personal.

Etiqueta y descripción

Estos 2 campos están ahí simplemente para facilitarte las cosas, para que puedas describir el servicio en cuestión. Un ejemplo de etiqueta podría ser “centro de datos DE” y la descripción correspondiente podría ser “centro de datos de Frankfurt”.

Región

Este campo tan solo se aplica a algunos servicios, y te permite especificar si estás guardando datos en la UE. Un buen ejemplo de este tipo de campo es “Servicios Web de Amazon” (abreviado normalmente como “AWS”, por sus siglas en inglés).

Datos personales personalizados

Este campo tan solo aparece en algunos servicios, y te permite especificar el tipo de datos personales recopilados a través del servicio en cuestión.

Bases jurídicas para el tratamiento de datos

Según el RGPD, tan solo se pueden tratar datos personales si existe al menos una base jurídica para hacerlo.

Las bases jurídicas son:

• El usuario ha dado su consentimiento para uno o varios fines específicos.
• El tratamiento de los datos es necesario para la ejecución de un contrato en el que el usuario participe o para tomar las medidas (solicitadas por el usuario) previas a la celebración del contrato.
• El tratamiento de los datos es necesario para cumplir una obligación legal a la que está sujeto el responsable del tratamiento.
• El tratamiento de los datos es necesario para proteger los intereses vitales del usuario o de otra persona.
• El tratamiento de los datos es necesario para llevar a cabo una tarea de interés público o según la autoridad oficial otorgada al responsable del tratamiento.
• El tratamiento de los datos es necesario para el interés legítimo del responsable del tratamiento o de un tercero, excepto cuando se vean anulados por los intereses, derechos y libertades del usuario, particularmente cuando este sea un menor.

En nuestra herramienta, puedes elegir entre las siguientes opciones:

• Consentimiento: el consentimiento significa ofrecer a las personas opciones y control reales. El consentimiento genuino debería dar a los usuarios el control de sus datos, generar confianza y compromiso y mejorar tu reputación. Esto se refiere a todas las herramientas de seguimiento que están basadas en cookies, para las que obtienes el consentimiento a través del banner de cookies.
• Contrato: todo lo que necesitas hacer para proporcionar el servicio (alojamiento, etc.). Puedes confiar en esta base jurídica si necesitas tratar los datos personales de alguien:
  • para cumplir con tus obligaciones contractuales con ellos; o
  • porque te han pedido que hagas algo antes de celebrar un contrato (por ejemplo, proporcionar un presupuesto).
• Obligación legal: puedes confiar en esta base jurídica si necesitas tratar los datos personales para cumplir con una ley común o una obligación estatutaria. Esto se refiere a una factura, por ejemplo.
• Interés vital: es probable que puedas confiar en los llamados intereses vitales como tu base jurídica si necesitas tratar los datos personales para proteger la vida de alguien. Este tratamiento tiene que ser necesario. Si puedes proteger los intereses vitales de la persona de una forma menos intrusiva, esta base jurídica no será aplicable en tu caso.
• Tarea pública: es más relevante para las autoridades públicas, pero puede aplicarse a cualquier organización que ejerza autoridad oficial o lleve a cabo tareas de interés público general.
• Interés legítimo: los intereses legítimos son sin duda la base jurídica más flexible para el tratamiento de datos, pero no puedes asumir que siempre será la más apropiada para tu caso en concreto. Es probable que sea la base jurídica más apropiada cuando utilices los datos personales de los usuarios de la manera que ellos razonablemente esperarían y que tenga un impacto mínimo en la privacidad, o cuando exista una justificación convincente para el tratamiento.
• Datos de categoría especial: los datos de categoría especial son datos personales que, según el RGPD, son más sensibles y, por lo tanto, necesitan una mayor protección. Incluyen, por ejemplo, información sobre la raza, religión o salud de una persona determinada.
• Datos de delitos penales: para tratar datos personales sobre condenas o delitos penales, debes tener una base jurídica en virtud del artículo 6 y una autoridad legal o autoridad oficial para el tratamiento en virtud del artículo 10.

Bases jurídicas para transferencias de datos fuera de la UE

Esto tan solo se aplica cuando transfieres datos personales fuera de la UE, así que, por favor, elige en consecuencia.

Puedes elegir entre las siguientes opciones:

• Sin transferencia de datos: se explica por sí misma.
• Decisiones de adecuación: una decisión tomada por la Comisión Europea en base a la Directiva 95/46/EC, que establece que un país que no pertenece a la UE garantiza un nivel adecuado de protección de los datos personales en virtud de su ley doméstica o de los acuerdos internacionales en los que haya participado.
• Normas corporativas vinculantes: las normas corporativas vinculantes (BCR, por sus siglas en inglés) han sido diseñadas para permitir a las empresas multinacionales transferir datos personales desde el Espacio Económico Europeo (EEE) a sus afiliados ubicados fuera del EEE, en conformidad con el 8º principio de protección de datos y el artículo 25 de la Directiva 95/46/EC. Este procedimiento ha sido diseñado para evitar que tengas que dirigirte a cada autoridad de protección de datos por separado. Puedes encontrar más información en el artículo 47.
• Garantías adecuadas: En ausencia de una decisión de conformidad con el artículo 45(3), un responsable o encargado del tratamiento podrá transferir datos personales a un tercer país u organización internacional solo si el responsable o encargado del tratamiento ha proporcionado las garantías adecuadas, y con la condición de que los derechos de los interesados y los recursos legales efectivos de los que disponen estén disponibles. Puedes encontrar más información en el artículo 46.
• Consentimiento: el consentimiento significa ofrecer a las personas opciones y control reales. El consentimiento genuino debería dar a los usuarios el control de sus datos, generar confianza y compromiso y mejorar tu reputación. Esto se refiere a todas las herramientas de seguimiento que están basadas en cookies, para las que obtienes el consentimiento a través del banner de cookies.
• Cláusulas contractuales tipo adoptadas por la Comisión Europea: la Comisión Europea puede decidir que las cláusulas contractuales tipo ofrecen garantías adecuadas sobre protección de datos para que los datos se transfieran internacionalmente. Por el momento, ha emitido dos conjuntos de cláusulas contractuales tipo para transferencias de datos de responsables del tratamiento de datos en la UE a responsables del tratamiento ubicados fuera de la UE o del Espacio Económico Europeo (EEE). Estas son la decisión 2001/497/CE y la decisión 2004/915/CE.
• Interés público: es más relevante para las autoridades públicas, pero puede aplicarse a cualquier organización que ejerza autoridad oficial o lleve a cabo tareas de interés público general.
• Establecimiento, ejercicio o defensa de reclamaciones legales.
• Interés vital: es probable que puedas confiar en los llamados intereses vitales como tu base jurídica si necesitas tratar los datos personales para proteger la vida de alguien. Este tratamiento tiene que ser necesario. Si puedes proteger los intereses vitales de la persona de una forma menos intrusiva, esta base jurídica no será aplicable en tu caso.

Sujetos relacionados con el tratamiento de datos personales

Responsable del tratamiento
Hace referencia a cualquier persona o entidad legal que determina los fines y medios del tratamiento de datos personales.

Encargados del tratamiento
Hace referencia a cualquier persona o entidad legal que trata datos personales por cuenta del responsable del tratamiento.

Miembros de la organización del responsable del tratamiento
Un ejemplo común son los empleados de la empresa/organización en cuestión.

Interesados
Pueden ser, por ejemplo, tanto los usuarios del sitio web o app en cuestión, como los visitantes o clientes de una tienda física.

Derechos disponibles

En situaciones normales, los asuntos que utilizan el “consentimiento” como base jurídica para el tratamiento, deben tener todos los derechos seleccionados. Nuestra solución de ofrece las siguientes opciones:

• Información: los individuos tienen derecho a ser informados sobre la recopilación y el uso de sus datos personales. Este es un requisito clave de transparencia según el RGPD.
• Acceso: los individuos tienen derecho a acceder a sus datos personales e información suplementaria. El derecho de acceso permite a las personas conocer y verificar la licitud del tratamiento.
• Rectificación: el RGPD incluye un derecho que permite a los interesados que se rectifiquen los datos personales inexactos o que se completen si están incompletos. Un individuo puede solicitar que se rectifiquen sus datos tanto verbalmente como por escrito.
• Supresión: el RGPD introduce el derecho de las personas a que se borren sus datos personales (también llamado “derecho al olvido”). Los individuos pueden solicitar que se borren sus datos tanto verbalmente como por escrito.
• Limitar el tratamiento: los individuos tienen derecho a solicitar la restricción o supresión de sus datos personales. Sin embargo, este no es un derecho absoluto y solo se aplica en determinadas circunstancias.
• Portabilidad de los datos: el derecho a la portabilidad de los datos permite a los individuos obtener y reutilizar sus datos personales para sus propios fines en distintos servicios. Les permite mover, copiar o transferir sus datos personales fácilmente desde un entorno de TI a otro de forma segura, sin afectar su usabilidad.
• Oposición: los individuos tienen derecho a oponerse a:
  • el tratamiento basado en intereses legítimos o en la ejecución de una tarea de interés público/ejercicio de autoridad oficial (incluyendo la elaboración de perfiles);
  • el marketing directo (incluyendo la elaboración de perfiles); y
  • el tratamiento con fines de investigación científica/histórica y estadísticos.

Política de conservación de datos

Este campo se refiere a cuánto tiempo se almacenan los datos. La opción por defecto es “conservar los datos durante el tiempo necesario para cumplir con el propósito” y debería aplicarse a la mayoría de los casos. De lo contrario, puedes elegir entre un período de 1 a 5 años.

Medidas de seguridad

Algunos ejemplos comunes son el método de cifrado utilizado o las evaluaciones de vulnerabilidad/pruebas de penetración, lo que significa que debes probar tus sistemas técnicos periódicamente para evaluar la seguridad y la resistencia de los mismos.

Otra medida importante es la denominada “copia de seguridad y almacenamiento de medios de copia de seguridad”, lo que significa que es recomendable mantener los medios de copia de seguridad en un lugar accesible solo para el personal responsable. La seguridad del sitio web debería verificarse, como mínimo, una vez al año.

También es recomendable instalar y mantener un firewall. Es recomendable revisar las configuraciones actuales, gestionar los permisos para los usuarios del sistema, comprobar que el sistema esté actualizado y, por último, proceder con la instalación en dispositivos portátiles. Sin embargo, tener un firewall activo no es obviamente nada nuevo en relación con el RGPD, y debe considerarse como una medida de seguridad mínima ya prevista por los estándares actuales.

En nuestra herramienta, podrás elegir una de las siguientes opciones:

• Cifrado: el cifrado es un proceso ampliamente utilizado a través del cual los datos se convierten en una versión codificada e ininteligible, utilizando algoritmos de cifrado y una clave de cifrado, y mediante el cual una clave o código de descifrado permite a otros decodificarlos nuevamente.
• Anonimización: el considerando 26 del RGPD define los datos anónimos como “datos anonimizados de tal manera que el interesado no sea o deje de ser identificable”.
• Seudonimización: la seudonimización es la separación de los datos de los identificadores directos, de modo que no se pueden vincular a una identidad sin tener acceso a información adicional que se mantiene por separado. Por lo tanto, puede reducir los riesgos relacionados con el tratamiento de los datos, pero conservando la utilidad de los propios datos.
• Auditoría: las auditorías periódicas de datos, junto con las revisiones y los ejercicios de gestión de datos, son requisitos permanentes para cumplir con el RGPD.
• Limitación de acceso: se refiere al acceso limitado a cualquier dato de identificación personal de cualquier individuo que se recopile o almacene en la Unión Europea.

¿Qué significa el botón “Añadir alternativas”?

Para describir detalladamente el tratamiento de los datos según lo exige el RGPD, debes ser muy concreto a la hora de describir tus prácticas de recopilación de datos. Una situación muy común es la de un sitio web que tiene varios formularios de contacto y donde cada formulario se dirige a personas diferentes o para el cual los datos se comparten con diferentes partes. Otro ejemplo es tener dos newsletters distintas para grupos de usuarios o clientes diferentes.

Nuestra herramienta de gestión interna de la privacidad te permite, por lo tanto, añadir distintas versiones del mismo servicio.

Ejemplos prácticos

Veamos ahora una serie de ejemplos concretos para hacer que la información anterior sea algo más práctica, incluyendo nuestras “opciones alternativas”: