Manuel Velasco Carretero - Economía - Derecho - Empresa

Fuente de la imagen: mvc archivo propio

Mientras leo en ituser[1] que "diecisiete de 24 agencias de protección de datos de la UE no están preparadas para hacer cumplir GDPR, que se debe a la falta de financiación por parte de sus respectivos gobiernos y a las actuales legislaciones nacionales, que no han sido actualizadas para la llegada de la nueva normativa", en mi país el Registro de Actividades de Tratamiento (RAAT) que se menciona en el art. 30 del referido GDPR (también conocido como RGPD o REPD) empieza a calentar motores. ~~Ayer~~ informaba en el sitio Protección de Datos de la "Supresión de la obligación de notificar ficheros a la AEPD"[2], como paso previo para el RAAT.

Y es que, con motivo de la próxima aplicación del RGPD, que suprime la obligación de notificar ficheros a la Agencia Española de Protección de Datos (AEPD) para su inscripción en el Registro General de Protección de Datos, el día 14 de mayo de 2018 dejaron de estar operativos los sistemas de notificación de ficheros, tanto a través del formulario NOTA como a través del envío de notificaciones en formato XML. La obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por elaborar un RAAT, que deberá contener la información señalada en el ordenamiento jurídico europeo aplicable.

El artículo 30 del RGPD[3] establece que “cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. La realización de este registro servirá a cada responsable o encargado para responder a lo expuesto en el considerando 82, que afirma que “todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.

En el texto "El art. 30 del Registro de Actividades del RGPD", te comentaba que, si bien en este momento no existe ninguna previsión legal que obligue a responsables y encargados de tratamiento a publicar su RAAT, con el objetivo de mostrar cómo construirlo, la AEPD ha elaborado y publicado el suyo, que refleja los tratamientos de datos de carácter personal que realiza[4], donde se muestra de forma transparente cómo puede elaborarse este registro. El espíritu de esta publicación es ayudar a otros responsables a encontrar respuesta a su búsqueda de un ejemplo de cómo cumplir con esta obligación.

__________________

[1] Sitio visitado el 15/05/2018.

[2] Velasco Carretero, Manuel. Supresión de la obligación de notificar ficheros a la AEPD. Sitio Protección de Datos. 2018. Visitado el 15/05/2018.

[3] Artículo 30. Registro de las actividades de tratamiento.

1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación: a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos; b) los fines del tratamiento; c) una descripción de las categorías de interesados y de las categorías de datos personales; d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos; b) las categorías de tratamientos efectuados por cuenta de cada responsable; c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

[4] Si quieres acceder clickea AQUÍ. Sitio visitado el 15/05/2018.

Fuente de la imagen: pixabay

~~Desde hace cerca de diez años~~, en el texto “Error, intencionalidad u olvido”[1], de vez en cuando he referenciado en ese sitio la profesión de administración inmobiliaria, actualmente título propio en Estudios Inmobiliarios por la Universidad de Málaga (España) y que antaño se conocía como Administración de Fincas (ver “Orgullosa de su administrador de fincas”[2]). En “Yo, profesional robot[3]” te comentaba que parecía que esas especialidades no se iban a extinguir a medio plazo, puesto que, como reflexionaba en “Hasta en la sopa”[4], la Ley de la Propiedad Horizontal española (LPH) tiene la virtud de que, siendo una ley escueta, la conoce en mi país casi todo el mundo (le suena a casi toda la ciudadanía), ya que, entre otras razones, las comunidades de propietarios las tenemos por casi todos los rincones del territorio, casi “hasta en la sopa”, la convivencia con los vecinos y vecinas a la orden del día, las zonas comunes el pan nuestro de la mayoría de los “españolistos” y los litigios en el marco de la LPH son peculiares, al convivir en el "rellano" demandante y demandado en muchos casos, por no hablar de la importante influencia de las comunidades de propietarios y sus economías de escala en el Producto Interior Bruto español (PIB).

Te cuento lo anterior, porque desde hace unos meses, cuando edité en el sitio sobre Protección de Datos de Carácter Personal el texto “La LOPD y la Administración de Fincas”[5], tenía anotado en la agenda echar un vistazo a la guía “Protección de datos y administración de fincas”, publicada por la Agencia de Protección de Datos española (si quieres acceder al documento, clickea AQUÍ[6]). Así que ~~en el fin de semana pasado~~, escuchando a Deacon Blue (ver “Tres décadas de diácono azul”[7]), he estado hojeando el texto, que aborda, por un lado, cuestiones generales de la normativa de protección de datos que se aplican a los administradores de fincas, que actúan por cuenta de las comunidades de propietarios, y, por otro lado, el análisis de supuestos específicos que se plantean con frecuencia ante la Agencia, tanto en forma de consulta como de denuncia: información sobre propietarios con pagos pendientes (publicación en el tablón de avisos de la finca de la identidad de los propietarios deudores o de las cuotas vencidas e impagadas), acceso y obtención de copias de la documentación de la comunidad, requisitos para la instalación de cámaras de videovigilancia o tratamiento de datos de empleados~~[8]~~ (Fuente de la imagen: pixabay).

______________________

[1] Velasco Carretero, Manuel. Error, intencionalidad u olvido. 2007. Sitio visitado el 01/05/2017.

[2] Velasco Carretero, Manuel. Orgullosa de su administrador de fincas. 2014. Sitio visitado el 01/05/2017.

[3] Velasco Carretero, Manuel. Yo, profesional robot. 2016. Sitio visitado el 01/05/2017.

[4] Velasco Carretero, Manuel. Hasta en la sopa. 2016. Sitio visitado el 01/05/2017.

[5] Velasco Carretero, Manuel. La LOPD y la Administración de Fincas. 2017. Sitio Protección de Datos. Visitado el 01/05/2017.

[6] Sitio visitado el 01/05/2017.

[7] Velasco Carretero, Manuel. Tres décadas de diácono azul. 2017. Sitio visitado el 01/05/2017.

[8] A continuación te dejo un vídeo, alojado en Youtube cortesía de Melián Abogados, con unas pinceladas sobre el cumplimiento de la normativa de protección de datos por parte de las comunidades de propietarios.