Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Registro de actividades de tratamiento ¿Qué es y cuándo es obligatorio?

Entre las obligaciones del RGPD se incluye llevar un registro de actividades de tratamiento, que, entre otras funciones, sirve para acreditar la conformidad de la entidad con la normativa de protección de datos. En este artículo vamos a explicar qué es el registro de actividades de tratamiento de datos personales, quién está obligado a hacerlo y cómo hacer un registro de actividades de tratamiento de acuerdo a la normativa.

¿Qué es el Registro de Actividades de tratamiento?

El registro de actividades de tratamiento del RGPD es una medida que deben contemplar todas aquellas empresas, entidades públicas y autónomos que manejen datos personales para documentar el tratamiento que hacen de estos datos. Es decir, es un documento que recoge los datos personales que se tratan, la legitimidad para dicho tratamiento, así como su finalidad y otras características relacionadas con ello, incluida la identificación de los responsables del tratamiento.

El registro de actividades del tratamiento documenta los flujos de datos personales de cualquier entidad o profesional (aunque como veremos más adelante, no es siempre obligatorio hacerlo) y debe estar a disposición de la autoridad competente en materia de protección de datos.

Con la entrada en vigor del Reglamento Europeo de Protección de Datos en 2018, el registro de actividades de tratamiento sustituyó a la obligación de inscribir los ficheros de datos en el Registro General de Protección de Datos, eliminando uno de los pasos burocráticos de la derogada LOPD.

Qué es el registro actividades tratamiento

¿Qué es el registro actividades tratamiento?

¿Cuándo es obligatorio el registro de actividades de tratamiento?

Llevar a cabo el registro de actividades de tratamiento es obligatorio cuando la empresa o entidad pública tiene más de 250 trabajadores o cuando, independientemente del número de trabajadores o de si es una empresa o un autónomo, los datos que se tratan:

  • Puedan entrañar un riesgo para los derechos y libertades de los interesados
  • Son relativos a condenas e infracciones penales
  • No sea ocasional (se traten datos personales de manera recurrente)
  • incluya categorías especiales de datos personales (indicadas en el artículo 9 del RGPD):
    • Origen étnico o racial
    • Opiniones políticas
    • Convicciones religiosas o filosóficas
    • Afiliación sindical
    • Tratamiento de datos genéticos
    • Datos biométricos dirigidos a identificar de manera unívoca a una persona física
    • Datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física

¿Qué organizaciones deben llevar un registro de actividades de tratamiento?

Deben llevar un registro de actividades de tratamiento organizaciones tanto públicas como privadas, con o sin ánimo de lucro, que empleen más de 250 trabajadores, así como aquellas que, independientemente del número de trabajadores, traten con datos personales de forma recurrente, a gran escala, o con datos de categorías especiales o datos relativos a condenas penales.

¿Quién debe llevar el registro de actividades de tratamiento?

Tal y como se indica en el artículo 30.1 y 30.2 del RGPD, el registro de actividades de tratamiento deben llevarlo tanto el responsable del tratamiento (o, en su caso, su representante) y el encargado del tratamiento (o, en su caso, su representante).

Ahora bien, el registro de actividades de tratamiento es un documento de carácter interno, que solo debe presentarse cuando así lo solicite la autoridad de control competente (en España la AEPD), por lo que, como decíamos, no es necesario inscribirlo en ningún registro, pero sí que debe ser conservado y actualizado en la organización o por el profesional.

tarifas proteccion datos

¿Qué información debe contener el registro de actividades de tratamiento?

La información que debe contener el registro de actividades de tratamiento debe ser lo más detallada posible respecto a los tratamientos de datos personales que realizan la organización o el profesional.

Aunque en esencia el contenido es similar, el RGPD distingue entre la información que debe incluir el registro de actividades de tratamiento del responsable y el del encargado del tratamiento.

Registro del responsable del tratamiento

Si el registro de actividades lo realiza el responsable del tratamiento, este debe incluir:

  • Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos

No obstante, cuando sea posible se deberá añadir el siguiente contenido:

  • Plazos previstos para supresión de datos
  • Descripción general de medidas de seguridad:
    • Seudonimización
    • Cifrado de datos personales
    • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
    • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
    • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Es importante señalar que cuando se proceda a incluir una descripción de las medidas de seguridad, esta información no ponga en riesgo dichas medidas, por lo que se recomienda consultar con el CISO o el RSI (responsable de seguridad de la información) sobre qué poner en la descripción.

Registro del encargado del tratamiento

Por su parte, el registro de actividades del encargado contendrá la siguiente información:

  • Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos
  • Las categorías de los tratamientos efectuados por cuenta del responsable
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos
  • Cuando sea posible, una descripción general de medidas de seguridad

¿Cómo hacer el registro de actividades de tratamiento?

Ahora que ya sabemos cuándo es obligatorio hacer el registro de actividades de tratamiento y la información que debe contener, respondamos a la pregunta «¿cómo hago el registro de actividades de tratamiento?» que muchos responsables y encargados pueden hacerse.

Aunque a través de la herramienta Facilita RGPD, podemos hacer el registro de actividades de tratamiento según la AEPD, lo cierto es que no hay un estándar o forma obligatoria para hacer el registro, más allá de incluir la información obligatoria que hemos detallado en el apartado anterior. Ahora bien, tanto responsables como encargados del tratamiento deben mantener siempre actualizado el registro de actividades de tratamiento.

Responsables y encargados tienen total libertad para organizar sus registros de tratamiento, aunque una forma habitual para organizarlo es hacerlo en torno a actividades concretas de tratamiento, como por ejemplo «gestión de empleados», «gestión de usuarios», «gestión de clientes», «gestión de recursos humanos», «gestión de videocámaras», etc.

El registro debe constar siempre por escrito, incluido el formato electrónico, de manera que la organización o el profesional puede tener el registro de actividades de tratamiento en PDF o en Word o en Excel (más recomendable en los dos últimos, puesto que permiten actualizarlos directamente sobre el documento) y, además, tener una copia impresa del mismo archivada.

Y, como ya hemos señalado, responsables y encargados tienen obligación de colaborar con la autoridad de control competente y, por tanto, de poner a disposición de esta, previa solicitud, los registros de actividades de tratamiento cuando sean requeridos para supervisar las operaciones de tratamiento.

Al contratar protección de datos con una consultoría especializada, podrás estar seguro de que tus registros de actividades de tratamiento están siempre al día y listos para entregar a la AEPD en caso de que esta te los solicite. Crear un nuevo registro o actualizar uno ya existente será cuestión de minutos, especialmente si el servicio contratado cuenta con un software de gestión de protección de datos fácil de usar, como el que pone a disposición de sus clientes Grupo Atico34.

Ejemplos de registro de las actividades de tratamiento de la AEPD

Aquí os dejamos un par de ejemplos de registro de actividades de tratamiento siguiendo el modelo de la AEPD:

  • Modelo de registro de actividades de tratamiento de una comunidad de propietarios
Ejemplo registro actividades tratamiento

Registro actividades de tratamiento en una comunidad de propietarios

  • Modelo de registro de actividades de tratamiento de una zona de videovigilancia
Ejemplo registro actividades tratamiento

Modelo de registro de actividades de tratamiento de una zona de videovigilancia

Modelos de registro de actividades de tratamiento del RGPD

A falta de modelos de registro de actividades de tratamiento oficiales, diferentes autoridades, como la AEPD, han elaborado sus propios modelos, que pueden servir de guía para elaborar los nuestros.

Así, como ejemplo de registro de actividades de tratamiento tenéis el modelo de la AEPD.

La ICO (Information Comissioner’s Office) también ofrece dos modelos de registro de actividades de tratamiento, tanto para el responsable del tratamiento, en Documentation templante for controllers, como para el encargado, en Documentation template for processors (en este caso en inglés).

La CNIL (autoridad supervisora francesa) también cuenta con su propia plantilla de registro de actividades de tratamiento a la que se puede recurrir (en este caso está en francés).

¿Qué ocurre si no tengo el registro de actividades de tratamiento?

No tener el registro de actividades de tratamiento cuando se tiene la obligación de ello, es considerado una infracción grave en la LOPDGDD y el RGPD, lo que puede conllevar la imposición de una sanción entre 40.000 y 300.000 €, en función de los interesados afectados y la duración en el tiempo, entre otros factores.

En definitiva, el registro de actividades de tratamiento es un documento que debe estar siempre actualizado y a disposición de la autoridad competente en materia de protección de datos si esta lo solicita. Debe ser conciso, pero ofrecer en detalle la información referente al tipo de datos personales que se tratan, la finalidad del tratamiento, su legitimación y la descripción tanto de las actividades de tratamiento como de las medidas de seguridad, incluidas las cesiones o transferencias internacionales de datos, así como identificar a responsables y encargados del tratamiento.

Esperamos haber solucionado tus dudas sobre el registro de actividades de tratamiento y qué debe contener. Si no es así, no dudes en consultarnos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.