Como ya todos sabéis, a partir de mayo del próximo año será aplicable el nuevo Reglamento europeo de Protección de Datos y una nueva LOPD en nuestro país.

Una de las novedades que esta normativa establece es que ya no será necesario inscribir los ficheros en el Registro General de Protección de Datos de la AEPD. Sin embargo, se establece una nueva obligación para el Responsable del fichero y es la de llevar un Registro de actividades de tratamiento.

Obligación de realizar un Registro de actividades del tratamiento

En la actual LOPD se establece como primera obligación del empresario la inscripción de ficheros en la que debe indicarse:

  • Datos que se recogen.
  • Con que fin.
  • Medidas de seguridad que se aplican.
  • Nivel de seguridad que corresponde.
  • Si el fichero es manual, mixto o automatizado.
  • Si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos a través de la página web de la Agencia. El objetivo es que el ciudadano pueda conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada, y dónde puede ejercer sus derechos en protección de datos.

Qué dice el RGPD

En esta nueva normativa europea se considera que la obligación general de notificar el tratamiento de datos personales a las autoridades de control no contribuyó en todos los casos a mejorar la protección de los datos personales.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos a través de la página web de la Agencia.

Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos.

¿Quién está obligado a realizar el registro de actividades de tratamiento?

Dicha obligación corresponde tanto al Responsable del fichero como al Encargado del tratamiento. Sin embargo, el RGPD no obliga a cualquier responsable o encargado a realizar ese Registro de actividades de tratamiento si no que establece unos requisitos:

  1. La empresa u organización tenga más de 250 empleados.
  2. Se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.
  3. Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

Contenido del Registro de actividades de tratamiento

El RGPD diferencia el contenido dependiendo de si el Registro lo realiza el Responsable del fichero o el Encargado del tratamiento.

Registro del Responsable del fichero

registro-responsable-fichero-rgpd

Si ese registro se realiza por el Responsable del fichero debe contener:

  • Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

Cuando sea posible:

  • Plazos previstos para supresión de datos.
  • Descripción general de medidas de seguridad:
    1. Seudonimización y cifrado de datos personales.
    2. Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    3. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    4. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro del Encargado del tratamiento

El registro que debe llevar el encargado debe contener la siguiente información:

  • Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos.
  • Las categorías de los tratamientos efectuados por cuenta del responsable.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
  • Cuando sea posible, una descripción general de medidas de seguridad.

Preguntas frecuentes

¿Cómo debo elaborar el Registro de actividades de tratamiento?

Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.

Estos registro deben constar siempre por escrito aunque también se consideran válidos en formato electrónico.

¿Cómo debe organizarse el registro de operaciones de tratamiento?
Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
No obstante, el Registro también podría organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.
Una vez elaborado ese Registro, ¿qué hago con él?

El Registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.

¿Qué me puede ocurrir si no tengo ese Registro de actividades de tratamiento?

Tanto el RGPD como el Anteproyecto de la nueva LOPD consideran como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podrá ser sancionada con multas de hasta  millones de euros o el 4% del volumen global de facturación anual de la empresa.

¿Necesitas cumplir el RGPD?

El Registro de actividades de tratamiento en el RGPD
5 (100%) 15 votos