Descubre si estás obligado llevar un registro de los datos de tus clientes

Poco a poco, los negocios se van acostumbrando a cumplir con la normativa de protección de datos. Es un tema importante para los autónomos, más aún cuando  se enfrentan a cuantiosas sanciones.  Por este motivo, todo aquel que tenga un negocio y que, de alguna forma, trate con los datos de sus clientes debe conocer sus obligaciones. 

Una de las novedades que establece la nueva normativa es que ya no será necesario inscribir los ficheros de datos en la  AEPD (Agencia Española de Protección de Datos), como sí obligaba la antigua LOPD. Sin embargo, ahora se establece una nueva obligación para el Responsable de los datos: tiene que llevar al día un Registro de actividades de tratamiento. Este documento sirve para recoger los datos que trata el negocio y, sobre todo para dejar constancia de su intención; con qué fin hace el tratamiento de esta información ; las medidas y nivel de seguridad que ha aplicado; si el fichero es manual, mixto o automatizado; o si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo.

En definitiva, el objetivo de este registro es que el ciudadano pueda conocer de la forma más exacta posible para que están utlizando los negocios sus datos personales. Entonces, ¿Todos los autónomos están obligados a tener uno?

¿Cuando es obligatorio llevar un registro de tratamiento de datos?

Aunque es muy recomendable que un negocio lleve al día y justifique con detalle el tratamiento que hace de los datos de sus clientes, no todos están obligados a llevar este registro. Los negocios de menos de 250 trabajadores no tienen obligación de hace este fichero,excepto en casos en los que realizan tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados; cuando se tratan los datos de forma continuada y no de modo ocasional; cuando se incluyen categorías especiales de datos personales; o si se tratan datos relativos a condenas e infracciones penales (como podría ser el caso de abogados).

Sin embargo, en la obligación de llevar un registro de tratamiento, también entra en juego el Principio de Responsabilidad Proactiva (Accountability) recogido en el Reglamento de protección de datos ( RGPD), y las propias recomendaciones de la Comisión Europea. Y es que, casi cualquier negocio -de forma directa o indirecta-  ha tratado alguna vez los datos personales de sus clientes, independientemente de su tamaño o sector.

No siempre es obligatorio pero sí recomendable

Teniendo en cuenta que en cualquier momento se puede incurrir en una infracción por un mal uso de los datos aunque no sea obligatorio, si parece recomendable tener un registro de tratamiento de datos. ¿Por qué? El RGPD establece que la sanción interpuesta en caso de infracción será menor cuanto mayor sea el grado de implicación del responsable de los tratamientos (el autónomo), a la hora de subsanar los perjuicios resultantes. En otras palabras, si la Agencia de protección de datos ve que el trabajador por cuenta propia se toma enserio los datos de sus clientes,  y ha justificado su uso y finalidad con un registro, será mucho más probable que en caso de haber alguna infracción, la sanción sea más leve.  

Y es que, según la RGPD, si el propietario del negocio actúa de manera diligente al tratar datos personales de clientes y se muestra proactivo a la hora de comunicar estos tratamientos a la Agencia la cuantía de la multa será menor, llegando a desestimarse la sanción económica en los casos más leves. 

¿Cómo hacer un registro de actividades de tratamiento?

El RGPD diferencia el contenido dependiendo de si el Registro lo realiza el Responsable del fichero o el Encargado del tratamiento. Sin embargo, en un pequeño negocio lo más seguro es que el propio autónomo sea quien realice el tratamiento de los datos y también el responsable de esta información. En este caso, bastará con hacer uno de ellos.

Si ese registro se realiza por el Responsable del fichero debe contener:

• Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
• Fines del tratamiento.
• Descripción de categorías de interesados y datos.
• Categorías de destinatarios existentes o previstos.
• Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales.

Cuando sea posible:

• Plazos previstos para la supresión de los datos.
• Descripción general de medidas de seguridad:
  1. Seudonimización (ocultar el nombre real) y cifrado de datos personales.
  2. Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  3. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  4. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro del Encargado del tratamiento

El registro que debe llevar el encargado debe contener la siguiente información:

• Identificación y datos de contacto del encargado.
• Las categorías de los tratamientos efectuados por cuenta del responsable.
• Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
• Cuando sea posible, una descripción general de medidas de seguridad.

El Registro de actividades de tratamiento debe archivarse en los ficheros del negocio y tenerlo siempre actualizado y a disposición de la Agencia, por si ésta lo solicita. Para facilitar esta tarea, la AEPD ha incluido, entre los servicios que se encuentran disponibles en su Sede Electrónica, la posibilidad de obtener una copia en electrónico (fichero Excel o XML) del modelo.