Delegado de Protección de Datos

El Registro de Actividades de Tratamiento

La protección de datos se debe proyectar sobre un importante número de procedimientos administrativos, cuyas incidencias se irán resolviendo a través de las consultas que se generen, y se plasman en las directrices, y  las guías preparadas con base en las necesidades que se detecten; pero hay al menos dos procedimientos que son propios de la protección de datos; el ejercicio de derechos RGPD, y la actualización del Registro de Actividades de Tratamiento, al que se dedica esta sección.

El Registro de Actividades de Tratamiento es un inventario de todos los tratamientos de datos personales que gestiona una institución, y sirve para organizar a partir de él la medidas organizativas y técnicas que permitan asegurar los datos, proveer los derechos de sus titulares, y en general cumplir con el RGPD y demás normativa de aplicación. Estar en el registro significa que el tratamiento está debidamente controlado por los responsables de la organización.

La existencia y correcta implementación y gestión del RAT resulta fundamental para que:

  • Cuando un ciudadano ejercita sus derechos RGPD, por ejemplo, su derecho de acceso a sus datos personales, la unidad encargada de tramitar su solicitud pueda saber en qué tratamientos (p.ej.: una investigación que se realiza para una tesis doctoral en sociología con datos recogidos en cuestionarios propios de la investigación, una investigación de medicina con su historial clínico, datos por su participación en cursos de verano, en actividades culturales, como alumno o proveedor de algún servicio…) hay datos relativos a esa persona. Si no existe el conocimiento de que existe dicho tratamiento, y la posibilidad de consultar quienes son los titulares de derechos afectados por cada uno de ellos, no se puede articular el ejercicio de dicho derecho de acceso, ni de ninguno de los restantes derechos RGPD.
  • La Universidad pueda, con el debido asesoramiento especializado del DPD, y coordinado con los responsables de la seguridad, adecuar los medios necesarios para cada tratamiento, valorando sus riesgos para la libertad y derechos de las personas, y tomando las medidas organizativas y técnicas precisas.
  • Se pueda asociar los incidentes de seguridad a concretos tratamientos, mejorar su valoración, y permitir la mejora continua de la seguridad.

Es por ello que el RAT debe organizarse debidamente. Ningún miembro de la comunidad universitaria debe hacer accesible un formulario para una finalidad que no esté en e RAT, ni sin adoptar o cumplir las medidas organizativas y técnicas que para cada uno de los tratamientos se establezcan. Lo que sigue son las recomendaciones de este DPD respecto al RAT. Para dar de alta procedimientos en el RAT es conveniente acudir con informe de este DPD al GAP, para lo que debe rellenarse este formulario (incluye instrucciones):

Está prohibida la realización de tratamientos no inscritos en el RAT

Todos los tratamientos de datos que se realicen en el ámbito de la Universidad de la Laguna, cualquiera que fuera el sujeto del que dependa, deben inscribirse previamente en el Registro de Actividades de Tratamiento, para lo que deberán contar con la autorización de su responsable. Éste debe solicitar en sede electrónica la inclusión de sus tratamientos en el RAT.

Para la inscripción en el RAT debe seguirse el procedimiento descrito al final de esta página. Las solicitudes se realizarán conforme a las siguientes reglas:

La inscripción en el RAT debe solicitarla el responsable

Los órganos de gobierno deberán establecer quiénes sean responsables de cada tratamiento. Actualmente está atribuida esta responsabilidad a la Gerencia, pero la heterogeneidad de datos utilizados por la Universidad de La Laguna, y el amplio elenco de finalidades de aquellos, recomienda que, en la medida en la que así se acuerde, se distribuya la responsabilidad de su gestión, según se trate de datos para investigación, en el sentido de la normativa universitaria, recayendo ésta en el Vicerrector o Vicerrectora de Investigación; académica, tanto en su vertiente administrativa como en los aspectos docentes o de investigación, en la más amplia acepción del artículo 20 de la Constitución, que recaerá en el Vicerrector o Vicerrectora de Docencia; actividad estudiantil, de la que se responsabilizará el Vicerrector o Vicerrectora de Estudiantes; de personal, que debería seguir bajo el ámbito de responsabilidad de la Gerencia; y orgánica y demás trámites administrativos, deberían recaer en la Secretaría General, en función de cómo se concrete en cada momento el Esquema Nacional de Seguridad.

Las solicitudes de los responsables de la información deben dirigirse al responsable de tratamiento

Esto quiere decir que quien pretenda realizar un tratamiento de investigación lo debería solicitar, siguiendo el esquema anterior, al Vicerrector de Investigación, si es un tratamiento con datos del personal, a Gerencia, ertc… Quien lo solicite debe ser, en el ámbito ENS, responsable de la información. Lógicamente podría resultar que dichas funciones (responsable del tratamiento y de la información) se solapen.

Tratamientos con fines de investigación científica

En el caso de los tratamientos realizados en el marco de actividades de investigación, se debe considerar responsable de la información del tratamiento el investigador principal, o en caso de no tener éste vinculación con la ULL, el investigador vinculado a la ULL que lo solicite. Este mismo sujeto deberá también ser considerado operador de la seguridad cuando utilice sistemas informáticos que no estén bajo el control directo del STIC. Deberá en este caso informar con la claridad y extensión adecuada de las soluciones técnicas que se propone implantar, y seguir las instrucciones precisas que al respecto le facilite el Responsable de la Seguridad, y en general la política de seguridad de la ULL en lo tocante al tratamiento realizado, siendo directamente responsable de los daños que pudiera ocasionar su inobservancia. Cualquier cambio sobre la propuesta inicial o cualesquiera incidencia que acontezca deberá reportarla de inmediato, sin dilaciones indebidas, al Responsable de Seguridad y, cuando proceda, al Delegado de Protección de Datos.

Para el inicio de la actividad de tratamiento, así como para su continuidad, el responsable de la información se ha de someter a la autorización del responsable del tratamiento, que, siguiendo el modelo propuesto, será el Vicerrector o Vicerrectora de Investigación.

Cualquier persona con vinculación con esta Universidad que participe en dicho tratamiento de datos de carácter personal y considere que no se recoge debidamente en el Registro de Actividades de Tratamiento, debe instar del Delegado de Protección de Datos la solicitud de incoación de los procedimientos de alta, modificación o cancelación de asientos.

Cuando el Comité de Ética de la Universidad de La Laguna observe la posibilidad de que la investigación pudiera tener consideraciones relevantes en orden a la protección de datos personales, debe recabar la participación en sus deliberaciones del Delegado de Protección de Datos. También debe remitir al Delegado de Protección de Datos todos aquellos supuestos en los que se solicite certificados de conformidad con la normativa de protección de datos.

Revisión de tratamientos inscritos

Todos los tratamientos inscritos en el RAT por procedimientos anteriores a estas reglas, deben verificar que cumplen con estas recomendaciones, e instar las modificaciones que precisen. Cuando el tratamiento haya sido inscrito a instancias de una persona o unidad distinta de las aquí referidas, dicha revisión deberá instarla la misma unidad o persona que la promovió o efectuó, sin perjuicio de dar conocimiento a quienes deben ser los obligados para que si lo consideran adecuado soliciten su modificación o cancelación. En todo caso, deberán adecuar el tratamiento a los términos en que estuviere inscrito.

Cada dos años el responsable del tratamiento deberá realizar informe que remitirá al Delegado de Protección de Datos y archivará junto a la documentación del tratamiento, respecto de su adecuación en atención al cumplimiento de sus fines, valorar las medidas de seguridad implantadas, y si se hubieren detectados nuevos riesgos para los derechos y libertades de los interesados en los mismos. Ello sin perjuicio de la revisión que proceda si hubiere un incidente de seguridad, o un cambio tecnológico o legislativo que lo hiciere necesario.

Organización y funcionamiento del Registro

  1. Secciones: El Registro debe ordenarse en dos secciones de modo que en una (Sección A) se contengan las actividades en las que la Universidad efectúa el tratamiento en condición de responsable, y en otra (Sección B) aquellas en las que lo haga como encargada del tratamiento, por cuenta de otro responsable.
  2. Las inscripciones de la Sección A (la ULL como responsable) deben contener:
    1. Nombre y datos de contacto del responsable del tratamiento y del Delegado de Protección de Datos
    2. Identificación del tratamiento o tratamientos que se pretende dar a esos datos.
    3. Base legal del tratamiento.
    4. Identificación de las categorías de interesados y categorías de datos personales que se pretenden tratar.
    5. Finalidades del tratamiento o los tratamientos.
    6. Categorías de destinatarios a los que se comunican datos, incluidas transferencias internacionales de datos y la documentación de garantías adecuadas cuando proceda.
    7. Plazos de eliminación de cada categoría de datos.
    8. Medidas técnicas y organizativas de seguridad.
    9. Referencia y enlace a la publicación del BOULL en la que se autoriza el tratamiento.
  3. Las inscripciones de la Sección B (la ULL como encargada) deben contener:
    1. Nombre y datos de contacto del encargado de tratamiento y de cada responsable por cuenta del cual actúe el encargado, así como de sus respectivos Delegados de Protección de Datos, cuando lo tuvieren, o la indicación de no tenerlo.
    2. Referencia precisa a el contrato, convenio, acuerdo o análogo donde consten los términos en que la ULL deba realizar el tratamiento, de modo que sea perfectamente identificable.
    3. Categorías de tratamientos efectuados por cuenta del responsable.
    4. Transferencias de datos a un tercer país y la documentación de garantías adecuadas cuando proceda.
    5. Plazos de eliminación de cada categoría de datos.
    6. Medidas técnicas y organizativas de seguridad.
    7. Referencia y enlace a la publicación del BOULL en la que se autoriza el tratamiento.
  4. Gestión interna del Registro: notas marginales: Es recomendable realizar anotaciones instrumentales, sin publicidad, que permita a la Universidad la mejor gestión de la supervisión de los tratamientos o la facilitación en el ejercicio de los derechos de los interesados.
    1. Para ello el responsable de la información, y en su defecto del encargado del tratamiento, deben comunicar, y anotarse de este modo
      1. El nombre y datos de contacto de la persona con capacidad para decidir y autorizar accesos a los datos, que será considerada responsable de la información, por ejemplo, el investigador principal, cuando analizado el flujo de datos de la investigación correspondiera a éste la decisión, o el jefe del servicio o sección en que se tramiten principalmente procedimientos administrativos en los que se realicen los tratamientos. La persona deberá ser totalmente identificada, no bastando con referir al cargo o puesto que ocupa.
      2. El nombre de las personas a las que el responsable de la información haya dado acceso a los datos tratados, indicando la tipología de las cláusulas de confidencialidad bajo la que acceden (nivel de confidencialidad ULL o clausulado específico conforme a la letra f de este mismo número).
      3. Los incidentes y brechas de seguridad que se produjeran en relación con los datos objeto del tratamiento, y las medidas técnicas, organizativas o de cualquier otra índole que en su caso propone para evitar que se vuelva a producir.
      4. El contenido de los textos informativos que ofrezca a los interesados, cuando deban diferir de los que contenga los previstos por la Universidad de La Laguna con carácter genérico para la tipología de tratamientos que realizará, y los motivos de dicha diferencia.
      5. El soporte en el que conste el consentimiento de los interesados, cuando éste deba recabarse, y su forma de custodia.
      6. Los términos y cláusulas de confidencialidad que se obligue a firmar a quienes tuvieren acceso a los datos, cuando se tratase de personas ajenas a la ULL o que no tengan previamente firmada para con la ULL cláusula de confidencialidad suficiente, si dichos textos tuvieran que diferir de los propuestos por la ULL.
    2. Serán anotaciones obligatorias para el jefe del servicio que gestione el ejercicio de los derechos RGPD en el ámbito de la ULL:
      1. El ejercicio de derechos RGPD, detallando el derecho ejercitado y la extensión de su ejercicio, la motivación si fuere conocida, y cualquier otra circunstancia que pudiera ser de utilidad para valorar la necesidad de la revisión del tratamiento, o de las medidas técnicas u organizativas que garantizan su seguridad.
      2. Los incidentes y brechas de seguridad que se produjeran en relación con los datos objeto del tratamiento.
    3. Los incidentes y brechas de seguridad que se produjeran en relación con los datos objeto del tratamiento se considerarán anotaciones obligatorias para el Responsable de la Seguridad respecto a cualesquiera tratamientos realizados bajo sistemas o infraestructura sobre la que ejerza sus funciones
    4. Los obligados a practicar las notas marginales deberán hacer constar cuanta información pudiera a su juicio ser útil para valorar la necesidad de la revisión del tratamiento, o de las medidas técnicas u organizativas que garantizan su seguridad.
    5. El Delegado de Protección de Datos, el Responsable de Seguridad y el Servicio que gestione el ejercicio de los derechos RGPD en el ámbito de la ULL podrán realizar cuantas anotaciones marginales consideren convenientes a los referidos fines.
    6. La propuesta de nuevas medidas técnicas, organizativas o de cualesquiera otro tipo, se comunicará al responsable del tratamiento a fin de que pueda incoar el procedimiento de revisión de la autorización e inscripción del tratamiento, así como al Delegado de Protección de Datos y, cuando proceda, al Responsable de la Seguridad.
    7. Debe llevarse una relación de los soportes de los tratamientos inscritos, como forma de asegurar el efectivo ejercicio de derechos y la supervisión de la correcta aplicación de la normativa de aplicación: Tanto el DPD, como el servicio que en cada momento se encargue de dar satisfacción al ejercicio de los derechos en materia de protección de datos a sus titulares, en relación con los tratamientos realizados en el marco de la ULL, deben poder acceder en tiempo real a las bases de datos de investigación, y cualesquiera otras en las que se realicen lso tratamientos inscritos, cuanto menos para confirmar la existencia de datos pertenecientes al titular que ejercita los derechos. A este fin se arbitrará un sistema de búsqueda centralizada basada en el DNI, pasaporte, NIE, y documentos análogos de los titulares de los datos, que permita como mínimo informar en qué sistemas y tratamientos existe información relativa a cada titular. Todo ello sin perjuicio de la capacidad de auditoría que a dichas autoridades y servicios, entre otros, les competa
    8. Las nuevas inscripciones deben ser informadas por el DPD. debe regularse el plazo para evacuarlo, estimándose razonable el de un mes, una vez recibida toda la información que se requiera. Todo nuevo asiento requerirá la solicitud de anotación marginal del responsable de la información, a que se hace referencia en el epígrafe a.1 de este mismo ordinal 4.
    9. Las Resoluciones de inscripción, modificación o cancelación de actividades de tratamiento de datos personales deberían dotarse de publicidad reforzada mediante su publicación en el BOULL con carácter previo.
  5. La publicidad web de los tratamientos es recomendable organizarla por Responsable y, dentro de ellos, por tipología de los servicios a los que sirve, procurando adaptarse a la estructura organizativa de la Universidad.
  6. Con carácter general, las notas marginales como auxilio a la labor interna, se practicarán automáticamente por mera comunicación de los legitimados, salvo los números 4, 5, 6 de la letra a del ordinal 4, que requerirán la autorización del Responsable, previo informe del Delegado de Protección de Datos. El responsable de la información, o cualesquiera tercero que tenga acceso a la información tratada, vendrá obligado a solicitar la modificación respecto a cualesquiera extremos en que conozcan la discrepancia entre la realidad inscrita y la práctica, lo que es extensible a las anotaciones marginales practicadas a instancia del responsable de la información o del tratamiento.
  7. Cualquiera podrá comunicar al Delegado de Protección de Datos la existencia de tratamientos no inscritos en el RAT, o realizados en forma distinta de la allí contemplada. El DPD tendrá posibilidad de proponer motivada y directamente al responsable del tratamiento cualesquiera inscripción, modificación o inscripción de tratamientos.

Procedimiento para el alta en el Registro de Actividades de Tratamiento

El Delegado de Protección de Datos, a fin de garantizar la corrección de la formación del Registro de Actividades de Tratamiento, y sin perjuicio de las instrucciones que pudieran impartir los órganos competentes de esta Universidad, recomienda a los efectos de la inscripción de un procedimiento en el RAT seguir el siguiente procedimiento (que resume las recomendaciones de los desplegables que figuran más arriba):

  • La persona bajo cuya dirección se vayan a tratar los datos tendrá que rellenar una solicitud según este formulario (en el futuro estará en sede), y remitirlo por cualquier medio adecuado al DPD, haciendo constar claramente su DNI, nombre completo y relación con la ULL (si no se remitiera firmado por sede, el DPD antes del paso siguiente requerirá la firma, lo que tal vez resulte más cómodo para usuarios que no se manejen bien con el portafirmas institucional).

 

  • El DPD analizará la solicitud (actualmente requiere su remisión al DPD por sede o cualquier otro medio: su firma se requerirá después), y si todo es correcto propondrá al Responsable del Tratamiento (Vicerrector que corresponda o Gerencia) su autorización. Si detectara que falta alguna información o documentación, lo requerirá al interesado. También requerirá su firma electrónica, si no figurara en la solicitud.

 

  • La Resolución del Responsable se comunicará a Gerencia y Secretaría General, que acordarán la inclusión en el Registro de Actividades de Tratamiento de la ULL, ordenando al Gabinete de Análisis y Planificación su ejecución, así como poner en conocimiento del solicitante la terminación del procedimiento. La Resolución de Secretaría General como responsable de la información se comunicará al interesado, haciéndole saber que deberá esperar a la constancia de al efectiva inclusión en el RAT para la realización del tratamiento, y cuantas otras consideraciones hubiere lugar.