COMPARATIVA DEL DOCUMENTO DE SEGURIDAD DE LA LOPD CON EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT) DEL RGPD

 

La Ley Orgánica de Protección de Datos (LOPD), más concretamente su Reglamento de Desarrollo, establece en su artículo 88 la obligatoriedad, por parte de los responsables del tratamiento, de elaborar el denominado Documento de Seguridad. Sin embargo, con la aplicación del RGPD, dicho documento desaparece y es sustituido por el denominado Registro de actividades de tratamiento (RAT).

 

Desde nuestra asesoría jurídica en protección de datos le explicamos detalladamente en qué consisten ambos documentos y lo que el actual RGPD establece al respecto.

 

1. ¿QUÉ ES EL DOCUMENTO DE SEGURIDAD EN LA LOPD?

 

Tal y como adelantábamos en el párrafo anterior, el art. 88 del Reglamento de Desarrollo de la LOPD, establece la obligatoriedad por parte de los Responsables de ficheros o tratamientos, de elaborar un Documento de Seguridad que recogerá las medidas de índole técnica y organizativa conforme la normativa de seguridad vigente y será de obligado cumplimiento por parte del personal con acceso a los sistemas de información.

La empresa podrá elaborar un único Documento de Seguridad que comprenda todos los ficheros o tratamientos, o bien, podrá redactar un Documento de Seguridad para cada fichero o tratamiento.

El Documento de Seguridad ha de mantenerse siempre actualizado y dependiendo del nivel de seguridad exigido, el contenido básico del mismo variará.

 

Dentro del nivel básico de seguridad, el Documento de Seguridad deberá incluir:
  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en por el Reglamento de Desarrollo de la LOPD.
  • Funciones y obligaciones del personal en relación con el tratamiento de datos de carácter personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
  • Medidas a adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes.

 

En el supuesto en que nos encontremos ante un nivel medio o alto de seguridad, además de lo mencionado anteriormente, el Documento de seguridad deberá incluir:
  • Identificación del responsable o responsables de seguridad.
  • Controles periódicos para verificar el cumplimiento de los dispuesto en el Documento de Seguridad.

 

Asimismo, es necesario tener en cuenta que en aquellos supuestos en que se traten datos de carácter personal por cuenta de terceros, se deberá incluir en el documento de seguridad los ficheros o tratamientos que traten dichos terceros o encargados del tratamiento.

 

Documento de seguridad

Documento de Seguridad LOPD frente al Registro de Actividades de Tratamiento (RGPD)

 

2. ¿QUÉ EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT) EN EL RGPD?

 

Con la entrada en aplicación del RGPD se han producido grandes cambios en materia de protección de datos. El primero de ellos y de los más significativos es la desaparición del deber de inscribir los ficheros ante la Agencia Española de Protección de Datos.

Otro gran cambio es la desaparición de toda mención al Documento de Seguridad, el cual ha sido explicado en el anterior apartado.

Teniendo en cuenta lo mencionado, es necesario destacar la obligación establecida en el art. 30 del RGPD, esto es, la llevanza por parte del Responsable del tratamiento y en su caso, del Encargado, de un registro de actividades de tratamiento efectuadas bajo su responsabilidad.

 

Dicho Registro viene a sustituir a las dos obligaciones mencionadas anteriormente, es decir:

  • La necesidad de inscribir los ficheros ante la Agencia Española de Protección de Datos; ahora será el Responsable o en su caso el Encargado del tratamiento, quien deberá llevar un registro de los tratamientos.
  • La llevanza del Documento de Seguridad; toda vez que el Registro de actividades de tratamiento incluirá entre otras cuestiones las medidas de seguridad.

 

Antes de explicar el contenido básico de Registro de actividades de tratamiento, es necesario destacar, que la obligación de elaborar dicho documento no se aplicará a aquellas empresas que empleen a menos de 250 personas, salvo que:

  • Pueda entrañar un riesgo para los derechos y libertades de los interesados.
  • No sea ocasional.
  • O, incluya categorías especiales de datos personales.

 

El contenido básico del Registro de actividades de tratamiento es el siguiente:
  • Nombre y datos de contacto del responsable y, en su caso del corresponsable, representante del responsable y del delegado de protección de datos.
  • Finalidades del tratamiento.
  • Categoría de interesados y categoría de datos personales.
  • Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como, terceros países u organizaciones internacionales.
  • Transferencias de datos personales a un tercer país o una organización internacional.
  • Plazos previstos para la supresión de los datos, cuando sea posible.
  • Descripción general e las medidas técnicas y organizativas de seguridad.

 

Asimismo, es necesario destacar que, en aquellos supuestos en que se efectúen tratamientos de datos de carácter personal por cuenta de terceros, en cuyo caso nos encontraríamos ante la figura del Encargado del tratamiento, dicho encargado deberá llevar un registro de las actividades de tratamiento efectuadas por cuenta del Responsable.

 

3. CONCLUSIÓN DOCUMENTO DE SEGURIDAD VS RAT

 

El conocido Documento de Seguridad es sustituido por el Registro de actividades de tratamiento, el cual supone una mezcla entre la anterior obligación de declarar los ficheros ante la Agencia, y la llevanza del Documento de Seguridad.

Esto supone  una mayor responsabilidad para los Responsables y Encargados de tratamiento siempre que, bajo el prisma del denominado principio de responsabilidad proactiva, serán ellos los encargados de demostrar el correcto cumplimiento de la normativa de protección de datos.

Por ello, desde Grupo Adaptalia como expertos en consultoría en protección de datos, le asesoramos en el cumplimiento del RGPD, así como en la elaboración del ya mencionado Registro de actividades de tratamiento, que sustituirá su actual Documento de Seguridad.