Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El registro de actividades de tratamiento en el RGPD

El Reglamento Europeo de Protección de Datos (RGPD) incluye entre sus obligaciones el llevar un registro de actividades de tratamiento, cuya finalidad es la consecución de una efectiva responsabilidad activa de las entidades que tratan datos personales y, por lo tanto, poder acreditar la conformidad de su actuación con la normativa de protección de datos.

En las siguientes líneas explicaremos todo lo relacionado con el registro de actividades de tratamiento de datos personales; desde qué es exactamente, quiénes están obligados a hacerlo y cómo hacer un registro de actividades de tratamiento.

¿Qué es el Registro de Actividades de Tratamiento?

El registro de actividades de tratamiento del RGPD es una medida que deben contemplar todas aquellas empresas, entidades públicas y autónomos que manejen datos personales para documentar el tratamiento que hacen de estos datos. Es decir, es un documento que recoge los datos personales que se tratan, la legitimidad para dicho tratamiento, así como su finalidad y otras características relacionadas con ello, incluida la identificación de los responsables del tratamiento.

registro actividades tratamiento

El registro de actividades del tratamiento documenta los flujos de datos personales de cualquier entidad o profesional (aunque como veremos más adelante, no es siempre obligatorio hacerlo) y debe estar a disposición de la autoridad competente en materia de protección de datos.

Este registro de actividades de tratamiento sustituyó en mayo de 2018 (cuando entró en vigor el RGPD en España) a la obligación de inscribir los ficheros de datos en el Registro General de Protección de Datos, ahorrando así algunos pasos burocráticos a empresas y profesionales.

Referencias al registro de actividades de tratamiento en el RGPD

El registro de las actividades de tratamiento está regulado en el artículo 30 del RGPD:

  • «Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
  • Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
  • Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
  • El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite».

 ¿Cuándo es obligatorio el registro de actividad de tratamiento?

Llevar a cabo el registro de actividades de tratamiento es obligatorio cuando la empresa o entidad pública tiene más de 250 trabajadores o cuando, independientemente del número de trabajadores o de si es una empresa o un autónomo, los datos que se tratan:

  • Puedan entrañar un riesgo para los derechos y libertades de los interesados
  • Son relativos a condenas e infracciones penales
  • De manera no ocasional, incluye categorías especiales de datos personales (indicadas en el artículo 9 del RGPD):
    • Origen étnico o racial
    • Opiniones políticas
    • Convicciones religiosas o filosóficas
    • Afiliación sindical
    • Tratamiento de datos genéticos
    • Datos biométricos dirigidos a identificar de manera unívoca a una persona física
    • Datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física

¿Cómo hacer un registro de actividades de tratamiento?

Ahora que ya sabemos cuándo es obligatorio hacer el registro de actividades de tratamiento, vamos a responder a la pregunta: «¿cómo hago el registro de actividades de tratamiento?».

Si bien no hay ninguna forma estandarizada u obligatoria para hacer el registro de actividades de tratamiento, sí que hay un contenido e información mínimos que este debe recoger para cumplir con los requisitos del RGPD y la LOPDGDD, que explicaremos en los siguientes puntos.

Además, a través de la herramienta Facilita RGPD, podemos hacer el registro de actividades de tratamiento según la AEPD.

¿Qué información debe contener el registro de actividades de tratamiento?

Si bien, el registro de actividades de tratamiento es un documento de carácter interno, que solo deberemos presentar cuando así nos lo solicite la autoridad competente (como puede ser la AEPD), es una documentación que debe mantenerse actualizada y, a ser posible, lo más detallada posible respecto a las actividades de tratamiento de datos personales que realiza la empresa o el profesional.

Respecto a la información y contenido que debe incluirse en el registro de actividades de tratamiento, el RGPD distingue entre si quien lo elabora es el responsable del tratamiento o es el encargado del tratamiento.

Registro de actividades del responsable del tratamiento

Si el registro de actividades lo realiza el responsable del tratamiento, este debe incluir:

  • Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos

No obstante, cuando sea posible se deberá añadir el siguiente contenido:

  • Plazos previstos para supresión de datos
  • Descripción general de medidas de seguridad:
  • Seudonimización
  • Cifrado de datos personales
  • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
  • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
  • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Es importante señalar que cuando se proceda a incluir una descripción de las medidas de seguridad, esta información no ponga en riesgo dichas medidas, por lo que se recomienda consultar con el CISO o el RSI (responsable de seguridad de la información) sobre qué poner en la descripción.

Registro de actividades del encargado del tratamiento

Por su parte, el registro de actividades del encargado contendrá la siguiente información:

  • Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos
  • Las categorías de los tratamientos efectuados por cuenta del responsable
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos
  • Cuando sea posible, una descripción general de medidas de seguridad

¿Cómo organizarlo?

Como hemos dicho, no hay un estándar oficial para elaborar el registro de actividades de tratamiento y, por tanto, su organización dependerá de la propia entidad o profesional y lo que mejor funcione para ellos, siempre y cuando contenga la información y contenido que hemos señalado en el apartado anterior de manera suficientemente detallada.

Una forma habitual para organizar el registro de actividades de tratamiento es hacerlo en torno a actividades concretas de tratamiento, como por ejemplo «gestión de empleados», «gestión de usuarios», «gestión de recursos humanos», «gestión de videocámaras», etc.

tarifas proteccion datos

¿Cómo se debe mantener el registro de las actividades de tratamiento?

Los responsables y los encargados del tratamiento (que se encuentren obligados) deberán mantener los registros de las actividades de tratamiento bajo su responsabilidad siempre actualizados.

Ambos se encuentran obligados a cooperar con la autoridad de control, en España la AEPD, y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.

Este registro debe constar siempre en formato electrónico aunque también se considera válido que conste por escrito. Por ejemplo, podemos tener el registro de actividades de tratamiento en PDF o en Word o en Excel (más recomendable en los dos últimos, puesto que permiten actualizarlos directamente sobre el documento) y, además, tener una copia impresa del mismo archivada.

Al contratar protección de datos con una consultoría especializada, podrás estar seguro de que tus registros de actividades de tratamiento están siempre al día y listos para entregar a la AEPD en caso de que esta te los solicite. Crear un nuevo registro o actualizar uno ya existente será cuestión de minutos, especialmente si el servicio contratado cuenta con un software de gestión de protección de datos fácil de usar.

¿Me pueden sancionar por no tener el registro de actividades de tratamiento?

Sí, no tener el registro de actividades de tratamiento es motivo de sanción, puesto que se considera infracción grave tanto por el RGPD como por la LOPDGDD.

Dependiendo de la gravedad de la infracción, podrías ser sancionado con una multa entre 40.000 euros y 20 millones de euros o el 4% del volumen anual de facturación (la cuantía que resulta más alta).

Modelos de registro de actividades de tratamiento del RGPD

A falta de modelos de registro de actividades de tratamiento oficiales, diferentes autoridades, como la AEPD, han elaborado sus propios modelos, que pueden servir de guía para elaborar los nuestros.

Así, como ejemplo de registro de actividades de tratamiento tenéis el modelo de la AEPD.

La ICO (Information Comissioner’s Office) también ofrece dos modelos de registro de actividades de tratamiento, tanto para el responsable del tratamiento, en Documentation templante for controllers,  como para el encargado, en Documentation template for processors (en este caso en inglés).

La CNIL (autoridad supervisora francesa) también cuenta con su propio modelo de registro de actividades al que se puede recurrir (en este caso está en francés).

Ejemplos de registro de las actividades de tratamiento de la AEPD

Aquí os dejamos un par de ejemplos de registro de actividades de tratamiento siguiendo el modelo de la AEPD:

  • Modelo de registro de actividades de tratamiento de una comunidad de propietarios

ejemplo registro actividades tratamiento

  • Modelo de registro de actividades de tratamiento de una zona de videovigilancia

ejemplo registro actividades tratamiento

Conclusiones

El registro de actividades de tratamiento es un documento que, teniendo la obligación de tenerlo, debe estar siempre actualizado y a disposición de la autoridad competente en materia de protección de datos si esta lo solicita. Debe ser conciso, pero ofrecer en detalle la información referente al tipo de datos personales que se tratan, la finalidad del tratamiento, su legitimación y la descripción tanto de las actividades de tratamiento como de las medidas de seguridad, incluidas las cesiones o transferencias internacionales de datos, así como identificar a responsables y encargados del tratamiento.

Esperamos haber solucionado tus dudas sobre el registro de actividades de tratamiento y qué debe contener. Si no es así, no dudes en consultarnos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.