Es bien sabido que a nivel latinoamericano las leyes de protección de datos personales se han inspirado en el modelo europeo, en específico, en el Reglamento General de Protección de Datos (RGPD). Dicho instrumento recoge en su artículo 30, la obligación de los responsables y encargados de llevar un registro de actividades de tratamiento, el cual se compone de una serie de información, que permite conocer lo siguiente: la finalidad del tratamiento de datos, dónde se almacenan los datos personales, las categorías de datos personales, las transferencias de datos personales, los plazos de conservación de los datos personales, la descripción general de las medidas técnicas y organizativas de seguridad, entre otras[1]. Este registro se debe llevar por escrito y debe estar disponible para la autoridad de control competente en cualquier momento que lo solicite.

Antes de que el RGPD entre en vigor, en España se promovía la notificación e inscripción de los ficheros que contenían datos personales ante la Agencia Española de Protección de Datos (AEPD) como una medida de cumplimiento de la normativa sobre protección de datos. En ese sentido, aquellas personas que trataban datos personales entregaban los ficheros a la AEPD y esta última se encargaba de velar por que estos se encuentren completos y actualizados. Actualmente, en base a las disposiciones del artículo 30 del RGPD se puede observar que el registro de actividades de tratamiento es una herramienta basada en el principio de responsabilidad proactiva, pues conlleva un gran trabajo de supervisión y actualización continua de esta especie de inventario por parte del responsable y del encargado del tratamiento de datos personales. De esta manera, se ven obligados a prestar atención permanente a sus registros, y por tanto, procurar que el tratamiento de datos personales se esté realizando bajo los más altos estándares de calidad y seguridad posibles. Además, como se mencionó anteriormente, estos registros deberán ser entregados a la autoridad competente en cualquier momento que lo solicite, pues en caso de no hacerlo o en caso de verificar que se ha incumplido con los parámetros mínimos de esta obligación, los responsables y encargados estarán cometiendo una infracción y podrán ser sancionados.

En Ecuador, la Ley Orgánica de Protección de Datos Personales (LOPDP) no contempla la figura del registro de actividades de tratamiento. Sin embargo, contempla la creación del Registro Nacional de Protección de Datos Personales por parte de la Autoridad de Protección de Datos Personales[2], el cual será alimentado por los responsables del tratamiento de datos personales con la entrega de información similar a la que se encuentra contemplada en el artículo 30 del RGPD[3]. Hasta el momento no se ha expedido el reglamento de la LOPDP, por lo que todavía no es posible conocer cómo se va a llevar a cabo esta actividad y a través de qué medios se lo va a hacer, pero lo que sí es posible advertir es que todos los responsables y encargados deberán elaborar un registro similar al exigido por la normativa europea para custodiar la información de manera organizada, clara y completa con la finalidad de entregarla a la autoridad competente en el momento oportuno y evitar posibles sanciones.

Sin embargo, no hay que olvidar que la LOPDP también trata sobre la responsabilidad proactiva, por lo que se podría sugerir que, independientemente que la autoridad solicite el registro de un documento similar al registro de actividades de tratamiento, las personas que traten datos personales lleven este registro de manera independiente, con el fin de probar la buena aplicación de la norma y de las mejores prácticas internacionales a la autoridad, en el caso que sea necesario.

Belén Viteri

[1] Art. 30, RGPD.

[2] Art. 76, num. 6, LOPDP.

[3] Art. 51, LOPDP.