Pautas para hacer el registro de actividades del tratamiento RGPD

Pautas para registrar actividades del tratamiento RGPD

Por
24/06/2021

A esta altura a nadie se le escapa que con la entrada en vigor del RGPD son muchas las nuevas obligaciones que recaen sobre responsables y encargados del tratamiento, entre ellas podemos destacar la obligación de llevar un registro de actividades del tratamiento.

En el artículo de hoy vamos a profundizar en los aspectos claves de esta obligación como son: ¿Qué información debe contener?, ¿Cuándo se debe llevar?, ¿Cuándo no es obligatorio?.

Con carácter general responsables del tratamiento, los encargados y, en su caso, sus representantes están obligados a llevar un registro de las actividades del tratamiento efectuadas bajo su responsabilidad.

¿Qué información debe contener el Registro de actividades del tratamiento?

Cada organización deberá llevar un registro de actividades de tratamiento de conforme a lo previsto en el art. 30 del RGPD. El artículo 30.1 recoge su contenido para el responsable de tratamiento, y el 30.2 el contenido del registro de actividades que el encargado de tratamiento debe llevar.

El registro de actividades del tratamiento que debe llevar el responsable del tratamiento deberá contener toda la información indicada a continuación:

  1. El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  2. Los fines del tratamiento;
  3. Una descripción de las categorías de interesados y de las categorías de datos personales;
  4. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  7. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

El registro que debe llevar el encargado del tratamiento deberá contener toda la información indicada a continuación:

  1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
  2. Las categorías de tratamientos efectuados por cuenta de cada responsable;
  3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  4. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

¿Cómo se debe llevar a cabo el registro de actividades?

La AEPD cumpliendo con su función de promover el cumplimiento del RGPD da las siguientes pautas para realizar un registro de actividades del tratamiento;

Cada organización, de acuerdo al principio de responsabilidad proactiva, debe decidir el nivel de agregación o segregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Deberá valorar hasta qué punto la segregación de sus tratamientos en elementos diferentes se corresponde con finalidades, bases jurídicas y categorías de afectados distintos.

Además, le corresponde ponderar la optimización de la gestión de la protección de datos dentro de su organización para que resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue: que los individuos cuyos datos de carácter personal son objeto de tratamiento puedan tener, en su caso, un control efectivo de los mismos.

Podemos hablar de la construcción del Registro de actividades de tratamiento en dos fases:

  1. Realizar una revisión de los tratamientos de datos que la organización realiza;
  2. Revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro.

A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, agregar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

El RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente se deben incluir en el Registro de Actividades de Tratamiento:

  • Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica.
  • Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados.

Corresponde a cada organización decidir de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realizar la gestión de la misma.

El registro de actividades del tratamiento debe constar por escrito, inclusive en formato electrónico y debe estar a disposición de la autoridad de control que lo solicite.

¿Cuándo no es obligatorio llevar un registro de actividades del tratamiento?

La obligación de llevar un registro de actividades del tratamiento no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS