¿Qué es el Registro de Actividades de Tratamiento?

Como ya explicamos en nuestro artículo “Adiós a la inscripción de ficheros de datos personales”, el nuevo Reglamento General de Protección de datos (en adelante, “RGPD”), que fue de aplicación el 25 de mayo de 2018, elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos (en adelante, “AEPD”). En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.

¿Cuándo será necesario contar con un registro de actividades del tratamiento?

Según el artículo 30 del RGPD, tendrán obligación de contar con un registro de actividades del tratamiento todas aquellas organizaciones responsables del tratamiento que emplee a más de 250 personas, a menos que:

1. El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y libertades del interesado, o
2. El tratamiento incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
3. El tratamiento incluya datos relativos a condenas e infracciones penales.

¿Qué información debe contener el registro de actividades del tratamiento?

El registro de actividades del tratamiento del responsable deberá contener la información siguiente:

1. El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
2. Los fines del tratamiento.
3. Una descripción de las categorías de interesados y de las categorías de datos personales.
4. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
5. En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
6. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
7. Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.

En caso de que sea el encargado del tratamiento el que deba llevar un registro de actividades del tratamiento, éste deberá contener:

1. Nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
4. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.

¿Cómo debe constar el registro de actividades del tratamiento?

El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.

¿Cómo organizar el registro de actividades del tratamiento?

En la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento  que publicó la Agencia Española de Protección de datos hace unos meses, se apuntaba que el responsable tendría dos posibilidades a la hora de articular el registro de actividades del tratamiento:

• Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
• Elaborar dicho registro en torno a operaciones de tratamiento concretas, vinculadas a una finalidad básica común de todas ellas, o con arreglo a criterios distintos.

Del mismo modo, como anunciaban en la mencionada guía que la AEPD ha dispuesto una herramienta para facilitar a los responsables un mecanismo para obtener de forma automatizada toda la información sobre sus propios ficheros o tratamientos que hayan notificado al Registro General  que puede servir a los responsables como base para llevar a cabo el registro de actividades del tratamiento.

Conclusiones

Como hemos visto, habrá un elevado número de organizaciones que no se encontrarán obligadas por el RGPD a llevar a cabo el registro de actividades del tratamiento. Sin embargo, no se trata ya solo de una práctica muy recomendable, sino de una herramienta que va a permitir al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa, ya que, recordemos, el RGPD trae como novedad el principio de responsabilidad proactiva, por el cual, el responsable del tratamiento no solo deberá cumplir con la normativa, sino que deberá ser capaz de demostrarlo.

En este sentido apunta también la redacción del considerando 82 del RGPD:

“Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”

Por último, apuntar que estamos encantados de ayudar a cualquier organización a adaptarse a lo dispuesto en el RGPD.