Comisión de Seguridad Informática y Protección de Datos
La Protección de Datos Personales en la Universidad de Almería

Registro de Actividades de Tratamiento

1. OBJETO

El objeto de esta página web es la aplicación de la legislación de protección de datos de carácter personal vigente y promulgada por la Unión Europea y, en relación a la obligación que tiene una entidad pública de crear un Registro de Actividades de Tratamiento de datos de carácter personal.

2. INTRODUCCIÓN

La obligatoriedad de inscribir los ficheros en la Agencia Española de Protección de Datos (en adelante, AEPD) ha sido sustituida, desde del 25 de mayo de 2018, por la de contar con un REGISTRO DE ACTIVIDADES DE TRATAMIENTO de datos de carácter personal.

El Registro de Actividades de Tratamiento es de carácter interno, estando a disposición de la Agencia Española de Protección de Datos cuando fuere requerido por ésta. Además, deberá ser público a través de medios electrónicos.

3. CUESTIONES PRELIMINARES

3.1 ¿A quién se considera responsable de tratamiento?

De conformidad con el artículo 4.7 RGPD, se define como «Responsable del Tratamiento» o «Responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

Atendiendo a esta definición, a efectos de la Universidad de Almería (UAL) se ha atribuido la condición de Responsable de Tratamiento a la persona jurídico pública, la Universidad. De manera que Ésta es Responsable del Tratamiento de los datos de carácter personal, que obran en sus sistemas de información (informático y/o en papel), y que derivan de la prestación de los servicios públicos atribuidos a nivel de competencias.

3.2 ¿Qué define la legislación como dato de carácter personal?

De conformidad con el artículo 4.1) RGPD, se define como «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

De modo que, al objeto de esta legislación, se protegen datos de personas físicas, NO jurídicas.

En definitiva, se considera datos de carácter personal “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.” Y, entenderemos por «persona identificable» “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”.

3.3 ¿Qué se entiende por “Fichero”, “Operación de tratamiento” y “Actividad de tratamiento”?

De conformidad con el artículo 4.6 RGPD se define como «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Y conforme al artículo 4.2 se define por «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Los conceptos de «fichero» y «tratamiento» están estrechamente vinculados entre sí. El «fichero» podemos entender que es el soporte físico (ya sea informático o de otra naturaleza) que almacena los datos con un determinado criterio organizativo, en tanto que el «tratamiento» es la operación que se realiza con los datos que se almacenan en dicho soporte.

Atendiendo al artículo 31.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), nos dice que «El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado Reglamento.»

Por tanto, a los efectos de identificar e inventariar las actividades de tratamiento de datos de carácter personal ha sido necesario partir de los ficheros, informáticos y/o en papel, en los que obran los datos de carácter personal. El fichero está asociado al conjunto o conjuntos de datos personales, de los cuales se aporta toda la información obligada en el Registro. Según sus finalidades o usos, se han especificado las «actividades de tratamiento»

4. El Registro de actividades de tratamiento

De conformidad con el Artículo 30 RGPD «1. Cada responsable (= UAL) y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una Finalidad del tratamiento de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una Finalidad del tratamiento general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Por otro lado, Artículo 31 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), obviamente, en sintonía con el anterior reza:

«1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.»