Cómo estructurar los datos personales: ¿ficheros o tratamientos?


Josep Aragonés Salvat     26/11/2019


La diferencia entre “fichero” y “tratamiento” es notable, porque el concepto fichero se refiere a un conjunto de datos personales estructurado con arreglo a criterios específicos y el concepto tratamiento al conjunto de operaciones realizadas sobre estos datos. O sea, fichero son los datos y tratamiento lo que se hace con ellos.
 
Art. 4.2 GDPR: «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; 
Art. 4.6 GDPR: «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica; 

La confusión entre fichero y tratamiento es debida al cambio de la antigua LOPD al GDPR, donde se tenía asimilado el fichero con la notificación a la AEPD y, al no hacerlo ahora con el GDPR, es como si ya no existiera, pero tanto la Directiva (EU) anterior como el nuevo Reglamento (EU) no ha cambiado nada en este sentido, los articulados referentes al fichero son exactamente iguales en las dos normativas.

Las normativas de privacidad, GDPR y LOPDGDD, no se aplican a cualquier tratamiento de datos personales, sino que solo se aplican a los tratamientos realizados sobre los datos contenidos en un fichero.
 
El concepto "fichero" se nombra en la primera disposición del GDPR (art. 2.1), cuando se define el ámbito de aplicación material. La LOPDGDD (art. 2.1), reitera el fichero como único ámbito de aplicación del GDPR y LOPDGDD.
 
Art. 2.1 GDPR. Ámbito de aplicación material: El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Art. 2.1 LOPDGDD. Ámbito de aplicación de los Títulos I a IX y de los artículos 89 a 94: Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

El Cdo. 15 GDPR lo deja aún más claro:

"A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él.
Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento."

 

Las actividades de tratamiento


En términos de privacidad, existe otro concepto muy relevante que une “fichero” y “tratamiento”, que son las actividades de tratamiento (art. 30 GDPR). El concepto "actividades" se refiere a un conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.
El Cdo. 82 GDPR expone:
 
Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad...

Las actividades de tratamiento deben reflejar, entre otros detalles, el responsable del tratamiento, los fines de dicho tratamiento, las categorías de interesados, de datos personales y de destinatarios, las transferencias internacionales y los criterios de conservación y de seguridad de los datos.

Según el informe de la AEPD, para organizar el registro de actividades, puede resultar útil construirlo en torno a conjuntos estructurados de datos (ficheros), de manera que se agrupen en una única actividad de tratamiento los ficheros que tengan los mismos fines, la misma legitimación y el mismo colectivo de interesados.
 
AEPD: Elaborar el registro de actividades de tratamiento. https://www.aepd.es/blog/2018-04-24.html
A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

Atendiendo a todo lo expuesto anteriormente, un procedimiento para elaborar el registro de actividades de tratamiento puede basarse en identificar los ficheros, agrupándolos por finalidad, legitimación y colectivos de interesados, y detallando la información que dispone el art. 30 GDPR para cada uno de ellos.