Desde la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) en 2018, es obligatorio determinadas condiciones, llevar un registro de actividades de tratamiento. En esta entrada vamos a explicar qué este registro, cuándo se está obligado a llevarlo y cómo hacerlo.
¿Qué es el registro de actividades de tratamiento?
El registro de actividades de tratamiento en el RGPD es una medida que obliga a las empresas y otras entidades a documentar los flujos de datos personales que circulan dentro de ellas. Remplazó a la anterior obligación de inscribir los ficheros en el Registro General de Protección de Datos (en España se hacía ante la Agencia Española de Protección de datos) y su elaboración es el primer paso para cumplir con la normativa vigente en materia de privacidad y protección de datos.
Son los responsables y los encargados del tratamiento de datos quienes deben crear un registro interno que recoja detalladamente las actividades llevadas a cabo. Aunque, como veremos en el siguiente punto, no todas las entidades u organizaciones tienen obligación de hacerlo.
De acuerdo al RGPD el registro de actividades de tratamiento debe estar a disposición de la autoridad de control que lo solicite, por lo que es importante mantenerlo lo más actualizado posible.
¿Cuándo es obligatorio realizarlo?
Realizar el registro de actividades de tratamiento es obligatorio tanto para el responsable del fichero como para el encargado de tratamiento cuando se da alguno de estos requisitos:
- La empresa u organización tiene más de 250 empleados.
- La empresa, organización (con menos de 250 empleados) o autónomo realiza tratamientos que:
- Puedan entrañar un riesgo para los derechos y libertades de los interesados
- No sean ocasionales
- Incluyan categorías especiales de datos personales
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Tratamiento de datos genéticos
- Datos biométricos dirigidos a identificar de manera unívoca a una persona física
- Datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física
- Se realice un tratamiento de datos personales relativos a condenas e infracciones.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.
¿Qué información debe contener el registro?
El registro de actividades de tratamiento debe contener la siguiente información:
- Identificación y datos de contacto del responsable o encargado, corresponsable, representante y delegado de protección de datos (DPO).
- Fines del tratamiento.
- Descripción de categorías de interesados y datos tratados.
- Categorías de destinatarios existentes o previstos.
- Transferencias internacionales de datos y documentación de garantía de las transferencias exceptuadas sobre la base de intereses legítimos imperiosos.
- Plazos previstos para la supresión de datos (cuando sea posible).
- Descripción lo más detallada posible de las medidas de seguridad adoptadas (cuando sea posible).
Lo ideal a la hora de aportar la descripción de cada tratamiento que se lleva a cabo en la organización, es que esta sea lo más detallada posible, puesto que esto ayudará a realizar después el análisis de riesgos y, si se requiere, a hacer las evaluaciones de impacto sobre la protección de datos.
¿Cómo hago el registro de actividades de tratamiento?
Para hacer el registro de actividades de tratamiento incluyendo la información que hemos indicado más arriba, hay que tener en cuenta que el RGPD diferencia entre el contenido dependiendo si el registro lo elabora el responsable del fichero o el encargado del tratamiento.
Si bien, tanto el encargado como el responsable del tratamiento deben mantener los registros de actividades de tratamiento siempre actualizados y tienen la obligación de cooperar con la autoridad de control para poner a su disposición los registros, si son solicitados por esta.
En cualquier caso, el formato en el que se deben recoger los registros puede ser electrónico o por escrito.
Registro del Responsable del fichero
El registro del responsable del fichero debe incluir la siguiente información:
- Su nombre y datos de contacto y, si existen, los del corresponsable, los del representante y los del delegado de protección de datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comunican o comunicarán los datos, incluyendo los de terceros países u organizaciones internacionales.
- Las transferencias de datos personales a un tercer país u organización internacional, con mención del destinatario y la documentación de garantías adecuadas.
También se deberá añadir cuando sea posible:
- Los plazos previstos para la supresión de las diferentes categorías de datos.
- Una descripción general de las medidas de seguridad, que incluya:
- La pseudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personajes de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medias técnicas y organizativas para garantizar la seguridad del tratamiento.
Registro del Encargado del tratamiento
Por su parte, el registro del encargado del tratamiento incluirá esta información:
- Su nombre y datos de contacto, así como los de cada responsable por cuenta de quienes actúe y, si los hay, los de su representante o representante del responsable y los del DPO.
- Las categorías de tratamientos que efectúa por cuenta de cada responsable.
- Las transferencias de datos personales que efectúa a un tercer país u organización internacional, con mención del destinatario y la documentación de garantía adecuadas.
Y como ocurre con el responsable, cuando sea posible también se debe incluir una descripción general de las medidas de seguridad.
Preguntas frecuentes
¿Cómo debo elaborar el Registro de actividades de tratamiento?
Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento. Estos registros deben constar siempre por escrito aunque también se consideran válidos en formato electrónico.
¿Cómo debe organizarse el registro de operaciones de tratamiento?
Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
No obstante, el registro también podría organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.
Una vez elaborado ese Registro, ¿qué hago con él?
El registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.
¿Qué me puede ocurrir si no tengo ese Registro de actividades de tratamiento?
Tanto el RGPD como la LOPD consideran como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podrá ser sancionada con multas de hasta 20 millones de euros o el 4% del volumen global de facturación anual de la empresa.
Ejemplo de registro
No existe propiamente dicho un tipo de modelo de registro de actividades de tratamiento en el RGPD, sino que será decisión del responsable o el encargado hacer el registro de una forma u otra.
Sin embargo, diferentes autoridades de control han elaborado su propio modelo de registro de actividades de tratamiento, como la AEPD o el Information Comissioner’s Office (ICO), para que las organizaciones puedan adaptarlos a sus necesidades o utilizarlos como guía para elaborar los suyos.
A continuación os dejamos dos ejemplos de registro de actividades de tratamiento para que os hagáis una idea de cómo son. Hemos usado plantillas diferentes, para que veáis diferentes opciones.
- Aquí podéis descargar un ejemplo de registro de actividades tratamiento para videovigilancia
- Las nóminas son un tipo de documento que alberga datos personales, por lo que también deben gestionar. Aquí tenéis un ejemplo de registro de actividades de tratamiento nóminas
Modelo de tratamiento
Si lo necesitáis, desde aquí podéis descargar un modelo de registro de actividades de tratamiento.
¿Tienes claro cómo hacer este registro de actividades de tratamiento? Si tienes cualquier duda podemos ayudarte.
Soy presidenta de una comunidad de vecinos y queria saber qual es exactamente el documento a cumplimentar para la LOPD.
Gracias
Buenos días Laura, el Registro de actividades de tratamiento sustituye a la obligación anterior de inscribir los ficheros en la AEPD. Le dejo un enlace al modelo de documento que deben tener: https://ayudaleyprotecciondatos.es/modelo-registro-actividades-tratamiento/
No obstante, también deben tener otros documentos para cumplir con la LOPDGDD al manejar datos personales en la comunidad, sobre todo si tienen cámaras de videovigilancia. Le dejo 2 enlaces para ayudarle con todos los trámites, uno es para hacerlo por tu cuenta (GRATIS) explicándole los pasos a seguir https://ayudaleyprotecciondatos.es/2018/03/28/obligaciones-empresa-proteccion-datos/ y, la otra opción (RECOMENDADO), que pida presupuesto a varias consultoras de protección de datos desde este directorio: https://ayudaleyprotecciondatos.es/empresas/
Si las empresas de menos de 250 empleados no están obligadas a llevar el registro de actividades de tratamiento, qué deben hacer para cumplir la RGPD. ¿A qué están obligadas?
Buenas tardes Susana, aunque la ley no obliga a esas empresas a tener el Registro de actividades de tratamiento sí es recomendable que lo tengan para llevar un control interno del tipo de datos que manejan. También deben cumplir otros muchos requisitos como obtener el consentimiento de clientes, realizar un análisis de riesgos, incluir las cláusulas informativas y políticas de privacidad, etc. En este post tienes toda la información sobre los requisitos necesarios para cumplir el RGPD: https://ayudaleyprotecciondatos.es/guia-rgpd/
Buenos días, tengo una consulta de fisioterapia y tengo que ponerme al día con la ley de protección de datos, no utilizo ordenador, trato con pacientes y tengo datos sanitarios que recojo en consulta.
No se por donde empezar para cumplir con la ley dePD
Pueden ayudarme?
Gracias un saludo
Buenas tardes Indira, La AEPD ha puesto a disposición de las empresas y autónomos la herramienta Facilita para ayudar a cumplir el RGPD. Tienes información sobre esa herramienta en este post: https://ayudaleyprotecciondatos.es/2018/03/14/facilita-rgpd-herramienta-ayuda-empresas/
No obstante, en tu caso, al tratar datos de salud considerados como sensibles, te recomiendo contratar una empresa especializada para que te realice esa adaptación, aquí tienes el enlace al directorio donde puedes solicitar presupuestos: https://ayudaleyprotecciondatos.es/empresas/
Buenos días. Una duda que me surge.
Cuando hay distintos tipos de datos (por ejemplo, empleados, clientes y suscriptores no tienen ni la misma finalidad, ni el mismo tratamiento ni probablemente se ceden a las mismas empresas) ¿debe crearse un apartado para cada uno dentro de cada punto, crear documentos independientes o qué se hace?
Gracias de antemano.
Buenos días Eva, en ese caso en el Registro de actividades de tratamiento se crearán apartados diferentes (clientes, empleados, etc.) indicando en cada uno el tipo de datos tratados, la finalidad, cesiones o transferencias, la legitimación y el plazo de conservación.
[…] debe realizar a nivel interno un Registro de actividades de tratamiento. En este registro se detallarán el tipo de datos que se manejan, los destinatarios, base de […]
Buenas tardes,
me gustaría saber si el modelo a seguir para el Registro de actividades de tratamiento es el mismo para entidades públicas y privadas. En caso de no serlo, agradecería saber donde podría encontrar un modelo aplicable a entidades públicas
Muchas gracias.
Un saludo.
Buenas tardes Clara, el contenido mínimo del Registro de actividades de tratamiento es el mismo para entidades públicas y privadas.
[…] ALPD […]
desearía poder tener un ejemplo de registro de tratamiento proteccion datos
Buenos días Yolanda, te dejo un enlace donde tienes un modelo de registro de actividades de tratamiento: https://ayudaleyprotecciondatos.es/modelo-registro-actividades-tratamiento/
Buenos días Alicia, en este caso no existe obligación de designar un Delegado de Protección de datos aunque sí deben cumplir con los demás requisitos exigidos por la normativa. La política de seguridad de la información consiste en la adopción de una serie de medidas de seguridad que garanticen la protección de la información que maneja la empresa y la política de protección de datos está dirigida únicamente a proteger los datos personales, tanto de clientes como de empleados o proveedores.
solicito el modelo
Buenos días Aracellis, aquí te dejo el modelo de Registro de actividades de tratamiento: https://ayudaleyprotecciondatos.es/modelo-registro-actividades-tratamiento/
Buenas tardes Ainara, sí, en cualquier empresa que maneje datos personales es necesario realizar ese registro de actividades de tratamiento.
Pues en su artículo dice que no es obligatorio si no se dan las circunstancias del artículo 30.5, o en que quedamos?. Y la inmobiliaria no creo que cumpla con lo esos requisitos.
Buenos días Paco, aunque en la ley no se establezca como obligatorio si no se cumplen esos requisitos mi recomendación es realizarlo ya que, en caso de inspección de la AEPD, será más sencillo justificar el tipo de datos tratados. En la anterior LOPD se exigía inscribir los ficheros en la AEPD y eso se ha sustituido por llevar un registro interno en la propia empresa (Registro de actividades de tratamiento).
Soy propietaria de un blog que utiliza diversas herramientas de publicidad y estadística propiedad de Google y que pide datos personales como el correo electrónico para suscribirse al mismo que gestiona otra herramienta de Google. Estoy obligada a informar a mis usuarios y suscriptores del blog y a presentar este documento en la AEPD? Gracias.
Buenos días Yolanda, al solicitar datos personales a tus suscriptores debes cumplir la normativa de protección de datos. Tienes una herramienta gratuita de la AEPD para adaptarte.
También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas/
Buenos dias Ana, tengo una web subcontratada a Ionos, que me gestiona la base de datos de clientes. Me indican que debo contratar una ecommerce y anters cubrir la RGPD en mi empresa, aunque yo no tengo ni empleados ni registro de clientes en mi tienda física.
Es eso correcto? Que necesito realmente si vendo por internet a traves de mi web?
Buenos días Irene, si en la web recoges datos personales a través de formularios y se realizan ventas debes cumplir el RGPD. Tienes una herramienta gratuita de la AEPD que puede ayudarte con esa adaptación.
También puedes solicitar la ayuda de una empresa especializada, aquí tienes un enlace donde puedes pedir hasta cuatro presupuestos: https://ayudaleyprotecciondatos.es/empresas/
Buenas tardes, un grupo de compañeros hemos creado una asociación relacionada con una enfermedad poco común. Nos gustaría saber que necesitamos para cumplir con la LOPD, y para que en un futuro se puedan incorporar mas socios cumpliendo con la ley. También si ya se puede hacer todo online. Muchas gracias.
Buenos días Silvia, para adaptar la asociación a la normativa de Protección de datos tienes una herramienta gratuita de la AEPD.
También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas/
Buenas tardes, al manejar datos de salud es obligatoria la adaptación a la ley de protección de datos. Te dejo un enlace donde puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación: https://ayudaleyprotecciondatos.es/empresas/
Buenas quería información para autónomo ,Si tendría que registrarme en AEPD
Buenas tardes Yovana, Para adaptarte a la normativa de Protección de datos tienes una herramienta gratuita de la AEPD.
También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas/
ESTOY COLABORANDD CON UNA ASOCIACION QUE HASTA AHORA NO TENIA NADA TRAMITADO SOBRE PROTECCION DE DATOS.
ANTERIOR A LA NUEVA LEY YO MAS O MENOS MANEJABA LA NORMATIVA (CON EL REGISTRO EN NOTA) PERO AHORA ESTOY UN POCO PERDIDA CON EL REGISTRO DE ACTIVIDADES. ME PODRIAN AYUDAR CON MODELOS TIPO.GRACIAS.
Buenas tardes Juana, te dejo un enlace con todos los modelos que necesitas: https://ayudaleyprotecciondatos.es/modelos-plantillas/
Hola, soy psicóloga, autónoma, trabajo con pacientes en una policlínica, quería saber que tipo de documento debo tener y cumplimentar. Muchasgracias
Buenas tardes Viqui, al manejar datos de salud necesitas una especial protección por lo que te aconsejo que busques una empresa especializada que se encargue de todos los trámites. Te dejo un enlace donde puedes solicitar hasta cuatro presupuestos: https://ayudaleyprotecciondatos.es/empresas/
Buenas tardes,
Soy presidente de una Asociación de personas con discapacidad, tratamos datos personales, datos bancarios,informes médicos de nuestros usuarios, como asociación estamos obligados al registro de actividades de tratamiento? y si estamos obligados que tipo de fichero tenemos que elaborar, hay alguna plantilla oficial para ello?
Muchas gracias, saludos
Buenos días Juanjo, sí debéis tener un Registro de actividades de tratamiento. Aquí te dejo un modelo: https://ayudaleyprotecciondatos.es/modelo-registro-actividades-tratamiento/
No obstante, te recomiendo que solicites asesoramiento a una empresa especializada. En este enlace puedes pedir hasta 4 presupuestos: https://ayudaleyprotecciondatos.es/empresas/
Buenos dias!!!
Tengo una cuenta d banco y este me a pedido un registro de actividad, ahora mismo no estoy tengo un trabajo fijo ni estoy dada de alta como autonoma, pero si hago areglos de rops desde casa, podría hacer un registro de actividad? Esto me supondría algun cambio en cuanto a mi situación laborar?
Gracias!!!
Buenas tardes Jennider, si no manejas datos personales no necesitas realizar un registro de actividad de tratamiento.
Hola, soy educadora social y estoy empezando con un proyecto de negocio (aún dándole forma y empezando de forma gratuita, hasta poder hacerme autónoma legalmente ) y necesito información acerca de la protección de datos, los tipos de contrato que puedo llevar a cabo y como dirigir mi actividad con todos estos aspectos.
Llevaré planes de intervención familiar individualizados, con mayores y menores, a veces presencial y otras online. En ocasiones con sesiones de mediación y otras de coaching. Estoy algo perdida, pues hasta ahora he trabajado para asociaciones y la administración pública y aún conociendo el tema de la protección de datos, desconozco si al igual que los psicólogos he de llevar un registro de actividades, el contrato y como puede ser, que ha de reflejarse sí o sí. Los derechos de los usuarios…. En fin si existe ya una ley para mí tambien, si me apoyo en las de psicología o si he de redactarlo yo todo desde cero? Sobre todo al ser un negocio mayormente online y nuevo en algunos aspectos.
Gracias!
Buenos días María, te dejo un enlace donde puedes solicitar hasta cuatro presupuestos de empresas especializadas para ayudarte con el cumplimiento de esta normativa: https://ayudaleyprotecciondatos.es/empresas/
Buenos días. Formo parte de un grupo de apoyo vecinal (red Bellas Vistas). Trabajamos con voluntarios que colaboran haciendo recados (compras, y demás) y les hemos hecho certificados de movimiento a través de un modelo informado a la junta de distrito. Tenemos un documento con info de todo (voluntarios, con nombres y dni) y receptores, con direcciones, para llevar registro de las compras que hemos hecho
Estamos poniendo en marcha una despensa solidaria para dar alimentos a familias que lo necesitan, y también estamos recogiendo sus datos
¿Debemos hacer algo con ese documento donde guardamos la información? ¿Bastaría con cifrarlo y que solo tuvieran acceso algunas personas? En parte ya es así, pero queremos asegurarnos de que lo estamos haciendo bien
Hemos avisado a la gente de que los datos los estamos apuntando en un listado interno, eso sí
Gracias por su atención
Saludos
Buenos días Pilar, al manejar datos personales, debéis adaptaros a la normativa de protección de datos. Para ello tienes una herramienta gratuita de la AEPD.
También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas/
¿Una academia de idiomas necesita nombrar un delegado de protección de datos? la ley orgánica 3/2018 de 5 de Diciembre dice lo siguiente:
Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Pero desconozco sí una academia de inglés estaría en ese caso en concreto, ya que no sé si se puede considerar centro docente.
Gracias
Buenos días Jordan, la academia no está obligada a nombrar un DPD, eso se refiere a centros educativos que ofrecen enseñanzas regladas.
En el caso de un despacho jurídico en el que únicamente trabaja un único abogado que accede a sentencias penales ¿sería necesario el nombramiento de un delegado de protección de datos?.
Gracias
Buenas tardes Jordan, en ese caso tampoco sería necesario un DPD
Hola. Tengo una web de afiliación de Amazon que usa Analytics y Search Console para fines estadísticos además de AdSense para anuncios. En ningún momento tengo ningún formulario en el que haya que introducir datos personales ni se pueden dejar comentarios en la web. ¿Necesitaría contar con un Registro de Actividades de tratamiento en ese caso?
Buenas tardes, si no manejas ningún dato personal no es necesario
Hola, me ha encantado el artículo. Si he entendido bien, ese registro es un documento que hay que mantener en la empresa (como la facturación, por ejemplo) por si hubiera una inspección, pero no es necesario enviarlo a la AEDP ni presentarlo ante ningún organismo, ¿estoy en lo cierto? Muchas Gracias
Buenas tardes Laura, así es, debe mantenerse en la propia empresa por si hay una inspección y os lo piden
Buenos días quiero ponerme como fotógrafo autónomo y no se si debo registrarme y que documentación debo cumplimentar porque tengo que hacer contratos de cesión de derechos de imagen. Gracias
Buenas tardes Lucas, debes cumplir con la normativa de Protección de datos. Esto puedes hacerlo a través de la herramienta Facilita RGPD a la que le dejo el enlace: https://ayudaleyprotecciondatos.es/2018/03/14/facilita-rgpd-herramienta-ayuda-empresas/
También puedes contratar una empresa especializada que te ayude con esta adaptación. Te dejo un enlace a un directorio donde puedes solicitar hasta 4 presupuestos: https://ayudaleyprotecciondatos.es/empresas/