Cumplimiento del RGPD y control de los documentos (1)

En mayo de 2018 entraba en vigor el Reglamento General de Protección de Datos (RGPD). Aunque ya ha transcurrido un año, su aplicación sigue siendo una cuestión que preocupa a los gerentes y los directores de “compliance” de las empresas, dadas las responsabilidades que comporta. A menudo, las actividades de tratamiento de datos están integradas en los procesos de negocio existentes y las operaciones que se realizan (captura, almacenamiento, uso, destrucción, etc.) no se reducen a la información gestionada por las aplicaciones informáticas sino que implican igualmente la utilización de documentos o evidencias en soporte físico o electrónico. En estos apuntes examinaremos los aspectos documentales vinculados al cumplimiento legal de la normativa sobre protección de datos personales.

Un elemento clave en esta cuestión es la evaluación de riesgos, que debería llevarse a cabo conjugando dos puntos de vista complementarios: por un lado, el tratamiento de los datos personales y, por otro lado, los controles de la gestión de documentos.

A fin de abordar el primer aspecto, la Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD, publicada por la Agencia Española de Protección de Datos (AEPD), propone una serie de pautas orientadas a identificar, evaluar y tratar los riesgos. Este análisis comporta definir adecuadamente las actividades de tratamiento –hay que determinar su naturaleza, su alcance, su contexto y su finalidad–, que deben documentarse en un registro de actividades de tratamiento que incluye para la figura del responsable:

• la descripción de la actividad de tratamiento;
• la finalidad del tratamiento;
• los interesados;
• las categorías de los datos personales (datos identificativos, datos profesionales, datos financieros, etc.);
• las cesiones y transferencias a terceros de los datos personales;
• el período de conservación de los datos personales;
• las medidas técnicas y organizativas de seguridad.

Este enfoque parte de la idea de que una actividad de tratamiento (por ejemplo, la gestión del personal) implica la gestión de unos datos que se recogen con una finalidad determinada y que están sometidos a unas operaciones que van desde su captura hasta su eliminación (ciclo de vida de los datos):

Fuente: Agencia Española de Protección de Datos

En este sentido, es fundamental identificar los riesgos y establecer las medidas de control adecuadas para abordarlos, teniendo en cuenta que pueden diferenciarse:

• los riesgos que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos;
• los riesgos vinculados a la legitimidad para el tratamiento y al ejercicio de los derechos de los interesados.

En relación con los primeros, se deberían planificar acciones encaminadas a evitar o reducir el impacto que supondría, entre otros, la pérdida o eliminación no intencionada de los datos (disponibilidad), la falta de veracidad de los datos (autenticidad), la modificación o alteración no intencionada (integridad) o el acceso no autorizado (confidencialidad). La evaluación de este tipo de riesgos dependerá de la categoría a la que pertenezcan los datos personales y de las operaciones a los que estén sujetos.

Respecto de los segundos, al determinar el ciclo de vida de los datos personales, se debería considerar la legitimidad en la que se sustenta su tratamiento. Así, en el caso de las empresas, los supuestos a partir de los cuales es posible justificar el mantenimiento de los datos por un tiempo determinado serían:

• el fin específico para el cual el interesado ha dado su consentimiento;
• la ejecución de un contrato, cuando el tratamiento está vinculado a una relación comercial, laboral o administrativa;
• el cumplimiento de una obligación legal por parte del responsable del tratamiento;
• el interés legítimo del responsable del tratamiento, siempre que prevalezca este sobre los derechos de los afectados (por ejemplo, prevención del fraude, uso de sistemas de seguridad y de videovigilancia, fines de investigación histórica o científica, etc.).

Es importante considerar que uno de los principios relativos al tratamiento del RGPD, el de la limitación del plazo de conservación, establece que los datos serán mantenidos de forma que no se permita la identificación de los interesados más tiempo del necesario para los fines del tratamiento. Por ello, deberían evaluarse los riesgos de almacenar y usar los datos personales más allá del período de conservación estipulado y los de efectuar una eliminación incompleta que haga posible la reconstrucción de los mismos (a través de la información que pueda seguir estando disponible en copias de seguridad, discos duros de los puestos de trabajo, registros de bases de datos, etc.).