¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

El registro de actividades de tratamiento en el RGPD

6 Mins read

El Reglamento Europeo de Protección de Datos RGPD, trajo consigo numerosas novedades entre las cuales se incluye el registro de actividades de tratamiento. La finalidad de esta figura es la consecución de una efectiva responsabilidad activa de las entidades que tratan datos personales y, por lo tanto, poder acreditar la conformidad de su actuación con normativa de protección de datos.

A lo largo de los siguientes párrafos explicaremos de una manera sencilla todo lo relacionado con el registro de actividades de tratamiento, para que puedas comprender qué es y cómo debe llevarse a cabo.

¿Qué es el Registro de Actividades de Tratamiento?

El registro de actividades de tratamiento del RGPD es una medida que deben contemplar todas aquellas empresas, entidades públicas y autónomos que manejen datos personales para documentar el tratamiento que hacen de estos datos. Es decir, es un documento que recoge los datos personales que se tratan, la legitimidad para dicho tratamiento, así como su finalidad y otras características relacionadas con ello, incluida la identificación de los responsables del tratamiento.

registro actividades tratamiento

El registro de actividades de tratamiento de datos documenta los flujos de datos personales de cualquier entidad o profesional (aunque como veremos más adelante, no es siempre obligatorio hacerlo) y debe estar a disposición de la autoridad competente en materia de protección de datos.

Este registro de actividades de tratamiento sustituyó en mayo de 2018 (cuando entró en vigor el RGPD en España) a la obligación de inscribir los ficheros de datos en el Registro General de Protección de Datos, ahorrando así algunos pasos burocráticos a empresas y profesionales.

Referencias del RGPD al Registro de Actividades de Tratamiento

El registro de actividades de tratamiento está regulado en el artículo 30 del RGPD:

  • «Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
  • Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
  • Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
  • El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.»

 ¿Cuándo es necesario contar con un registro de actividades de tratamiento?

Llevar a cabo el registro de actividades de tratamiento es obligatorio cuando la empresa o entidad pública tiene más de 250 trabajadores o cuando, independientemente del número de trabajadores o de si es una empresa o un autónomo, los datos que se tratan:

  • Puedan entrañar un riesgo para los derechos y libertades de los interesados
  • Son relativos a condenas e infracciones penales
  • De manera no ocasional, incluye categorías especiales de datos personales (indicadas en el artículo 9 del RGPD):
    • Origen étnico o racial
    • Opiniones políticas
    • Convicciones religiosas o filosóficas
    • Afiliación sindical
    • Tratamiento de datos genéticos
    • Datos biométricos dirigidos a identificar de manera unívoca a una persona física
    • Datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física

¿Qué información debe contener el registro de actividades de tratamiento?

Aunque el registro de actividades de tratamiento es un documento de carácter interno, que salvo que solicite por parte de la autoridad competente en la materia, se debe mantener no solo actualizado, sino lo más detallado posible en cuanto al tratamiento que hace de los datos personales que maneja la empresa o el profesional.

Además, en cuanto al contenido que debe tener, el RGPD distingue entre si quien lo realiza es el responsable del tratamiento o es el encargado del tratamiento.

Registro de actividades del responsable del tratamiento

Si el registro de actividades lo realiza el responsable del tratamiento, este debe incluir:

  • Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos

No obstante, cuando sea posible se deberá añadir el siguiente contenido:

  • Plazos previstos para supresión de datos
  • Descripción general de medidas de seguridad:
    • Seudonimización
    • Cifrado de datos personales
    • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
    • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
    • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Registro de actividades del encargado

Por su parte, el registro de actividades del encargado contendrá la siguiente información:

  • Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos
  • Las categorías de los tratamientos efectuados por cuenta del responsable
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos
  • Cuando sea posible, una descripción general de medidas de seguridad

 ¿Cómo debo organizar este registro?

Ya sabes qué información debe contener, pero puede que te esté preguntando «¿cómo hago el registro de actividades de tratamiento?».

La respuesta es que no hay una forma realmente obligatoria para hacerlo y podrás organizarlo como mejor funcione para ti, siempre que contenga la información que hemos señalado arriba lo suficientemente detallada.

Una forma habitual para organizar el registro de actividades de tratamiento es hacerlo en torno a actividades concretas de tratamiento, como por ejemplo «gestión de empleados», «gestión de usuarios», «gestión de recursos humanos», «gestión de videocámaras», etc.

tarifas proteccion datos

¿Cómo tengo que mantenerlo?

Los responsables y los encargados del tratamiento (que se encuentren obligados) deberán mantener los registros de las actividades de tratamiento bajo su responsabilidad siempre actualizados.

Ambos se encuentran obligados a cooperar con la autoridad de control, en España la AEPD, y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.

Este registro debe constar siempre en formato electrónico aunque también se considera válido que conste por escrito. Por ejemplo, podemos tener el registro de actividades de tratamiento en PDF o en Word o en Excel (más recomendable en los dos últimos, puesto que permiten actualizarlos directamente sobre el documento) y, además, tener una copia impresa del mismo archivada.

Ten en cuenta que no tener el registro de actividades de tratamiento cuando tienes obligación de ello, puede ocasionar sanciones que, dependiendo de su gravedad, pueden acarrear multas de hasta 20 millones de euros o el 4% de la facturación anual.

Modelos de registro de actividades de tratamiento del RGPD

Como decíamos, no existe un modelo tipo del registro de actividades de tratamiento, si bien diferentes autoridades, como la AEPD, han elaborado modelos propios que pueden servir de guía o ejemplo para hacer los nuestros.

Así, aquí podéis ver el propio modelo de registro de actividades de tratamiento de la AEPD.

La ICO (Information Comissioner’s Office) también ofrece dos modelos de registro de actividades de tratamiento, tanto para el responsable del tratamiento, en Documentation templante for controllers,  como para el encargado, en Documentation template for processors (en este caso en inglés).

La CNIL (autoridad supervisora francesa) también cuenta con su propio modelo de registro de actividades al que se puede recurrir (en este caso está en francés).

Ejemplos de registro de las actividades de tratamiento de la AEPD

Aquí os dejamos un par de ejemplos de registro de actividades de tratamiento siguiendo el modelo de la AEPD:

  • Modelo de registro de actividades de tratamiento de una comunidad de propietarios

ejemplo registro actividades tratamiento

  • Modelo de registro de actividades de tratamiento de una zona de videovigilancia

ejemplo registro actividades tratamiento

Conclusiones

El registro de actividades de tratamiento es un documento que, teniendo la obligación de tenerlo, debe estar siempre actualizado y a disposición de la autoridad competente en materia de protección de datos si esta lo solicita. Debe ser conciso, pero ofrecer en detalle la información referente al tipo de datos personales que se tratan, la finalidad del tratamiento, su legitimación y la descripción tanto de las actividades de tratamiento como de las medidas de seguridad, incluidas las cesiones o transferencias internacionales de datos, así como identificar a responsables y encargados del tratamiento.

Esperamos haber solucionado tus dudas sobre el registro de las actividades de tratamiento y su contenido y, si no es así, siempre puedes consultar tus dudas con nuestro departamento jurídico.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
InternetLOPDGDD & RGPD

RGPD y cookies ¿Cómo cumplir con la normativa actual?

2 Mins read
En esta guía explicaremos cómo adaptar las cookies de nuestra web al RGPD. El RGPD y las cookies ¿Cómo adaptar mi web?…
LOPDGDD & RGPD

Principios generales de la protección de datos

4 Mins read
Los principios de protección de datos regulan la manera en que los responsables y encargados del tratamiento han de obtener o tratar…
LOPDGDD & RGPDRedes Sociales

Redes sociales y los procesos de selección ¿Qué dice la normativa de protección de datos?

5 Mins read
Las redes sociales son usadas por millones de usuarios en todo el mundo y se han convertido en parte del día a…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.