El registro de actividades del tratamiento en el RGPD

Las pasadas semanas hemos hablado de los pasos imprescindibles que deben seguir las empresas para cumplir con el deber de informar a los interesados en materia de protección de datos, concretamente cómo preparar los formularios de la web y cómo elaborar una política de privacidad acorde a la normativa.

Sin embargo, el Reglamento General de Protección de Datos (RGPD) establece otras obligaciones, entre las que se encuentra la de llevar un registro de actividades del tratamiento. Y de esta obligación, efectivamente, vamos a tratar hoy.

 

Qué es el registro de actividades del tratamiento

El registro de actividades del tratamiento es un requisito que exige el RGPD tanto a responsables como a encargados del tratamiento y que se refiere a en un documento que debe detallar cómo se lleva a cabo el tratamiento de datos personales.

El registro de actividades del tratamiento puede estar basado en los antiguos registros de ficheros que exigía la LOPD y que ya no es obligatorio realizar, o puede realizarse tomando como referencia las distintas finalidades por las cuales una entidad trata datos personales.

Sin embargo, no basta con copiar y pegar el registro de esos ficheros (elaborados de acuerdo a la normativa anterior) y titular el archivo creado como “Registro de actividades del tratamiento”. La responsabilidad proactiva, otro de los principios fundacionales del RGPD, exige que esta fase, como todas las demás, sea periódicamente evaluada y revisada, para que se adapte de la mejor manera posible a las condiciones presentes de la empresa.

Además, el registro de actividades del tratamiento es una herramienta que permitirá aplicar también el principio de protección de datos desde el diseño y por defecto, al ofrecer información sobre cómo se realizará en un futuro ese nuevo tratamiento de datos personales que una entidad se puede estar planteando realizar.

Definiciones básicas en RGPD

Cuándo hacer un registro de actividades del tratamiento

Quizá con la lectura del epígrafe anterior hayas empezado a hacer cálculos sobre la cantidad de trabajo que puede llevar tener un registro de actividades del tratamiento -y eso que aún no hemos hablado de todo lo que debe incluir-.

Pues quizá estés de enhorabuena, porque llevar un registro de actividades del tratamiento no es obligatorio para organizaciones que “empleen a menos de 250 trabajadores”, salvo que realicen tratamiento de datos personales que pueda entrañar un alto riesgo para los derechos y libertades de los interesados.

Sin embargo, la definición de “tratamiento que entrañe un alto riesgo” es bastante libre y, de hecho, en muchas ocasiones definir si un tratamiento conlleva un alto riesgo se deja a discreción del responsable del tratamiento.

Ahora bien, está claro que hay ciertas actividades que es probable que lo entrañen, ya sea porque impliquen tratar datos especialmente protegidos de forma no ocasional o porque se gestione información sobre infracciones o condenas penales, por ejemplo.

 

¿Hacer o no hacer el registro de actividades del tratamiento?

En definitiva, el registro de actividades del tratamiento no es obligatorio para muchos autónomos y para la gran mayoría de las pequeñas y empresas, pero su realización será siempre vista como una buena práctica en materia de transparencia.

De hecho, podría ser interesante adelantarse al propio reglamento y no solo elaborar un registro de actividades del tratamiento, sino además colocarlo en la página web de nuestra empresa o en nuestro blog personal.

Como hemos hablado más de una vez, el RGPD ofrece todo un horizonte nuevo que las organizaciones pueden seguir para diferenciarse de su competencia y además presentarse a sí mismas como una entidad legal que se toma en serio la privacidad de sus clientes.

Y, por cierto, si la Agencia llegara a solicitarnos pruebas que justifiquen cómo seguimos las indicaciones del RGPD, tener un registro de tratamiento bien realizado y actualizado será desde luego una muy buena señal.

Principios del RGPD

Principios del RGPD

Cómo elaborar tu registro de actividades del tratamiento

En el artículo 30 del Reglamento General de Protección de Datos o Reglamento (UE) 679/2016 se detallan las cuestiones relativas al registro de actividades del tratamiento.

En concreto, se estipula que el registro se debe llevar de forma escrita ya sea en formato físico o digital (30.3), y que deberá estar a disposición de la autoridad de control (la AEPD) si esta lo solicita (30.4).

El contenido del registro difiere ligeramente según seamos responsables o encargados del tratamiento de datos personales, de tal manera que:

Para responsables del tratamiento (30.1):

  • El contacto del responsable, y además el de su representante, corresponsable o delegado de protección de datos, si los hubiera.
  • Los fines del tratamiento
  • Una descripción de las categorías de personas interesadas y los datos personales
  • Las categorías de destinatarios a los que se ceden los datos, incluidos los que estén en terceros países fuera de la UE
  • Los plazos previstos para la supresión de las diferentes categorías de los datos personales (recuerda que suelen estar delimitados por ley)
  • Una descripción general de las medidas de seguridad observadas para cada tratamiento si fuera posible

Para encargados del tratamiento (30.2):

  • El contacto del encargado/s y de cada responsable, y si hubiera de su representante y el delegado de protección de datos
  • Las categorías de tratamientos efectuados por cuenta del responsable
  • Las transferencias de datos personales, si las hubiera, a organizaciones situadas en países de fuera de la UE
  • Una descripción general de las medidas de seguridad observadas para cada tratamiento si fuera posible

Además, sería interesante incluir también la justificación de la base jurídica que respalda el tratamiento de datos personales en cada una de esas operaciones del tratamiento, tal y como hace la propia Agencia.

Registro responsable vs registro encargado

Registro responsable vs registro encargado

El registro de actividades del tratamiento de la AEPD

El pasado viernes 11 de mayo la Agencia Española de Protección de Datos publicaba en su web su propio registro de actividades del tratamiento de datos personales.

Esta medida supone un paso más allá en la aplicación del principio de transparencia que inspira el Reglamento General de Protección de Datos, y es -evidentemente- de acceso público en el siguiente enlace.

Como ves, la Agencia Española de Protección de Datos ha hecho un listado de todas sus funciones o actividades, y ha ido especificando las categorías necesarias en cada una de esas finalidades.

De hecho, a lo dispuesto en el artículo 30 ha añadido también una reflexión sobre la base jurídica, de nuevo mejorando en transparencia y haciendo accesible a todo el mundo la razón por la que la Agencia realiza todos esos tratamientos de datos personales.

De nuevo, la conclusión final es que el RGPD pretende cambiar la forma en que nos relacionamos con la de protección de datos, respondiendo por defecto de manera proactiva y ganando siempre en transparencia.

 

 

Estos son los apuntes básicos para comprender cómo funciona el registro de actividades del tratamiento, uno de los requisitos del RGPD para ciertas entidades que bien valdría ser observado por todas. Si te has perdido las anteriores entregas, tienes una lista de todo lo que publico sobre protección de datos aquí.

Espero que te haya sido de ayuda en este proceso de comprensión de la nueva protección de datos. Nos vemos, como siempre, la semana que viene, pero no olvides que mientras tanto estoy a tu disposición en twitter (@noemicarro) y en contacto@noemicarro.es

Añadir comentario

Your email address will not be published. Required fields are marked *

A %d blogueros les gusta esto: