El Reglamento General de Protección de datos, GDPR como lo llamamos por aquí, elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos (en adelante, “AEPD”). En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.
Según el artículo 30 del RGPD, tendrán obligación de contar con un registro de actividades del tratamiento todas aquellas organizaciones responsables del tratamiento que emplee a más de 250 personas, a menos que:
- El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y libertades del interesado, o
- El tratamiento incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual), o
- El tratamiento incluya datos relativos a condenas e infracciones penales.
¿QUÉ INFORMACIÓN DEBE CONTENER EL REGISTRO DE ACTIVIDADES ?
El registro de actividades del responsable debe contener además del nombre y los datos de contacto del responsable y, en su caso, y del delegado de protección de datos, de la siguiente información.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- Las posibles transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
- Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.
En caso de que sea el encargado del tratamiento el que deba llevar un registro de actividades, éste debe contener:
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.
¿CÓMO DEBE CONSTAR EL REGISTRO DE ACTIVIDADES?
El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.
Puedes ver un ejemplo aquí y descargarte un fichero Excel de ejemplo
¿CÓMO ORGANIZAR EL REGISTRO DE ACTIVIDADES ?
En la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento que publicó la Agencia Española de Protección de datos, se indicaba que el responsable tendría dos posibilidades a la hora de articular el registro de actividades del tratamiento:
- Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
- Elaborar dicho registro en torno a operaciones de tratamiento concretas, vinculadas a una finalidad básica común de todas ellas, o con arreglo a criterios distintos. Esta segunda opción es que la desde DPO.coach recomendamos realizar a partir de los ficheros que anteriormente habíamos declarado en la AEPD.
BASE PARA EL ANÁLISIS DE RIESGOS
No obstante, aunque existen los citados supuestos sobre lo que es obligatorio disponer del registro, el Registro de actividades es un instrumento útil para desarrollar todo el resto de requerimientos en tu organización:
- Es la manera inicial de de realizar un análisis de riesgos ya que en la elaboración del mismos se identifican entradas, salidas, sistemas de información y finalidades
- Es un instrumento útil para desarrollar el redactado de políticas de privacidad (deber de informar), ya que en el mismo se deben detallar todas las finalidades y sus bases jurídicas, de manera que el inventariarlas inicialmente contribuye y ayuda a su construcción, mantenimiento y gestión. Ya resaltamos en nuestro blog una de las novedades más importantes del GDPR que consiste en la justificación documentada de las bases jurídicas de los tratamientos.
LA IMPORTANCIA PARA LA AUTORIDAD DE CONTROL
“Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”
