Desde la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) en 2018, es obligatorio determinadas condiciones, llevar un registro de actividades de tratamiento. En esta entrada vamos a explicar qué este registro, cuándo se está obligado a llevarlo y cómo hacerlo.

¿Qué es el registro de actividades de tratamiento?

El registro de actividades de tratamiento en el RGPD es una medida que obliga a las empresas y otras entidades a documentar los flujos de datos personales que circulan dentro de ellas. Remplazó a la anterior obligación de inscribir los ficheros en un registro (en España se hacía ante la AEPD) y su elaboración es el primer paso para cumplir con la normativa vigente en materia de privacidad y protección de datos.

Son los responsables y los encargados del tratamiento de datos quienes deben crear un registro interno que recoja detalladamente las actividades llevadas a cabo. Aunque, como veremos en el siguiente punto, no todas las entidades u organizaciones tienen obligación de hacerlo.

De acuerdo al RGPD el registro de actividades de tratamiento debe estar a disposición de la autoridad de control que lo solicite, por lo que es importante mantenerlo lo más actualizado posible.

¿Cuándo es obligatorio realizarlo?

Realizar el registro de actividades de tratamiento es obligatorio tanto para el responsable del fichero como para el encargado de tratamiento cuando se da alguno de estos requisitos:

  • La empresa u organización tiene más de 250 empleados.
  • La empresa, organización (con menos de 250 empleados) o autónomo realiza tratamientos que:
    • Puedan entrañar un riesgo para los derechos y libertades de los interesados
    • No sean ocasionales
    • Incluyan categorías especiales de datos personales
      • Origen étnico o racial
      • Opiniones políticas
      • Convicciones religiosas o filosóficas
      • Afiliación sindical
      • Tratamiento de datos genéticos
      • Datos biométricos dirigidos a identificar de manera unívoca a una persona física
      • Datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física
  • Se realice un tratamiento de datos personales relativos a condenas e infracciones.

¿NECESITAS CUMPLIR EL RGPD?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas las dudas referentes de tu sitio web.

¿Qué información debe contener el registro?

El registro de actividades de tratamiento debe contener la siguiente información:

  • Identificación y datos de contacto del responsable o encargado, corresponsable, representante y delegado de protección de datos (DPO).
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos tratados.
  • Categorías de destinatarios existentes o previstos.
  • Transferencias internacionales de datos y documentación de garantía de las transferencias exceptuadas sobre la base de intereses legítimos imperiosos.
  • Plazos previstos para la supresión de datos (cuando sea posible).
  • Descripción lo más detallada posible de las medidas de seguridad adoptadas (cuando sea posible).

Lo ideal a la hora de aportar la descripción de cada tratamiento que se lleva a cabo en la organización, es que esta sea lo más detallada posible, puesto que esto ayudará a realizar después el análisis de riesgos y, si se requiere, a hacer las evaluaciones de impacto sobre la protección de datos.

 

¿Cómo hago el registro de actividades de tratamiento?

Para hacer el registro de actividades de tratamiento incluyendo la información que hemos indicado más arriba, hay que tener en cuenta que el RGPD diferencia entre el contenido dependiendo si el registro lo elabora el responsable del fichero o el encargado del tratamiento.

Si bien, tanto el encargado como el responsable del tratamiento deben mantener los registros de actividades de tratamiento siempre actualizados y tienen la obligación de cooperar con la autoridad de control para poner a su disposición los registros, si son solicitados por esta.

En cualquier caso, el formato en el que se deben recoger los registros puede ser electrónico o por escrito.

Registro del Responsable del fichero

El registro del responsable del fichero debe incluir la siguiente información:

  • Su nombre y datos de contacto y, si existen, los del corresponsable, los del representante y los del delegado de protección de datos.
  • Los fines del tratamiento.
  • Una descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunican o comunicarán los datos, incluyendo los de terceros países u organizaciones internacionales.
  • Las transferencias de datos personales a un tercer país u organización internacional, con mención del destinatario y la documentación de garantías adecuadas.

También se deberá añadir cuando sea posible:

  • Los plazos previstos para la supresión de las diferentes categorías de datos.
  • Una descripción general de las medidas de seguridad, que incluya:
    • La pseudonimización y el cifrado de datos personales.
    • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.
    • La capacidad de restaurar la disponibilidad y el acceso a los datos personajes de forma rápida en caso de incidente físico o técnico.
    • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medias técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro del Encargado del tratamiento

Por su parte, el registro del encargado del tratamiento incluirá esta información:

  • Su nombre y datos de contacto, así como los de cada responsable por cuenta de quienes actúe y, si los hay, los de su representante o representante del responsable y los del DPO.
  • Las categorías de tratamientos que efectúa por cuenta de cada responsable.
  • Las transferencias de datos personales que efectúa a un tercer país u organización internacional, con mención del destinatario y la documentación de garantía adecuadas.

Y como ocurre con el responsable, cuando sea posible también se debe incluir una descripción general de las medidas de seguridad.

Registro de actividades de tratamiento por el Encargado del tratamiento

Preguntas frecuentes

¿Cómo debo elaborar el Registro de actividades de tratamiento?

Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento. Estos registros deben constar siempre por escrito aunque también se consideran válidos en formato electrónico.

¿Cómo debe organizarse el registro de operaciones de tratamiento?

Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.

No obstante, el registro también podría organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.

Una vez elaborado ese Registro, ¿qué hago con él?

El registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.

¿Qué me puede ocurrir si no tengo ese Registro de actividades de tratamiento?

Tanto el RGPD como la LOPD consideran como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podrá ser sancionada con multas de hasta 20 millones de euros o el 4% del volumen global de facturación anual de la empresa.

Ejemplo de registro

No existe propiamente dicho un tipo de modelo de registro de actividades de tratamiento en el RGPD, sino que será decisión del responsable o el encargado hacer el registro de una forma u otra.

Sin embargo, diferentes autoridades de control han elaborado su propio modelo de registro de actividades de tratamiento, como la AEPD o el Information Comissioner’s Office (ICO), para que las organizaciones puedan adaptarlos a sus necesidades o utilizarlos como guía para elaborar los suyos.

A continuación os dejamos dos ejemplos de registro de actividades de tratamiento para que os hagáis una idea de cómo son. Hemos usado plantillas diferentes, para que veáis diferentes opciones.

Imagen de registro de actividades de tratamiento videovigilancia

Imagen de registro de actividades de tratamiento nóminas

Modelo de tratamiento

Si lo necesitáis, desde aquí podéis descargar un modelo de registro de actividades de tratamiento.

¿Tienes claro cómo hacer este registro de actividades de tratamiento? Si tienes cualquier duda podemos ayudarte.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Soy presidenta de una comunidad de vecinos y queria saber qual es exactamente el documento a cumplimentar para la LOPD.
    Gracias

    1. Buenos días Laura, el Registro de actividades de tratamiento sustituye a la obligación anterior de inscribir los ficheros en la AEPD. Le dejo un enlace al modelo de documento que deben tener: https://ayudaleyprotecciondatos.es/modelo-registro-actividades-tratamiento/
      No obstante, también deben tener otros documentos para cumplir con la LOPDGDD al manejar datos personales en la comunidad, sobre todo si tienen cámaras de videovigilancia. Le dejo 2 enlaces para ayudarle con todos los trámites, uno es para hacerlo por tu cuenta (GRATIS) explicándole los pasos a seguir https://ayudaleyprotecciondatos.es/2016/05/05/proteccion-datos-empresas-gratis/ y, la otra opción (RECOMENDADO), que pida presupuesto a varias consultoras de protección de datos desde este directorio: https://ayudaleyprotecciondatos.es/empresas/

  2. Si las empresas de menos de 250 empleados no están obligadas a llevar el registro de actividades de tratamiento, qué deben hacer para cumplir la RGPD. ¿A qué están obligadas?

    1. Buenas tardes Susana, aunque la ley no obliga a esas empresas a tener el Registro de actividades de tratamiento sí es recomendable que lo tengan para llevar un control interno del tipo de datos que manejan. También deben cumplir otros muchos requisitos como obtener el consentimiento de clientes, realizar un análisis de riesgos, incluir las cláusulas informativas y políticas de privacidad, etc. En este post tienes toda la información sobre los requisitos necesarios para cumplir el RGPD: https://ayudaleyprotecciondatos.es/2017/06/14/guia-reglamento-general-proteccion-datos/

  3. Buenos días, tengo una consulta de fisioterapia y tengo que ponerme al día con la ley de protección de datos, no utilizo ordenador, trato con pacientes y tengo datos sanitarios que recojo en consulta.
    No se por donde empezar para cumplir con la ley dePD
    Pueden ayudarme?
    Gracias un saludo

    1. Buenas tardes Indira, La AEPD ha puesto a disposición de las empresas y autónomos la herramienta Facilita para ayudar a cumplir el RGPD. Tienes información sobre esa herramienta en este post: https://ayudaleyprotecciondatos.es/2018/03/14/facilita-rgpd-herramienta-ayuda-empresas/
      No obstante, en tu caso, al tratar datos de salud considerados como sensibles, te recomiendo contratar una empresa especializada para que te realice esa adaptación, aquí tienes el enlace al directorio donde puedes solicitar presupuestos: https://ayudaleyprotecciondatos.es/empresas/

  4. Buenos días. Una duda que me surge.
    Cuando hay distintos tipos de datos (por ejemplo, empleados, clientes y suscriptores no tienen ni la misma finalidad, ni el mismo tratamiento ni probablemente se ceden a las mismas empresas) ¿debe crearse un apartado para cada uno dentro de cada punto, crear documentos independientes o qué se hace?
    Gracias de antemano.

    1. Buenos días Eva, en ese caso en el Registro de actividades de tratamiento se crearán apartados diferentes (clientes, empleados, etc.) indicando en cada uno el tipo de datos tratados, la finalidad, cesiones o transferencias, la legitimación y el plazo de conservación.

  5. […] debe realizar a nivel interno un Registro de actividades de tratamiento. En este registro se detallarán el tipo de datos que se manejan, los destinatarios, base de […]

  6. Buenas tardes,
    me gustaría saber si el modelo a seguir para el Registro de actividades de tratamiento es el mismo para entidades públicas y privadas. En caso de no serlo, agradecería saber donde podría encontrar un modelo aplicable a entidades públicas
    Muchas gracias.
    Un saludo.

    1. Buenas tardes Clara, el contenido mínimo del Registro de actividades de tratamiento es el mismo para entidades públicas y privadas.

  7. Buenas tardes,
    Soy secretaria de un club de tiro con arco muy pequeño, y querría saber si tenemos obligación de nombrar Delegado de Protección de Datos o sirve alguna otra figura responsable. También si tenemos obligación de tener política de seguridad y política de protección de datos y qué diferencia hay entre ellas. Muchas gracias

    1. Buenos días Alicia, en este caso no existe obligación de designar un Delegado de Protección de datos aunque sí deben cumplir con los demás requisitos exigidos por la normativa. La política de seguridad de la información consiste en la adopción de una serie de medidas de seguridad que garanticen la protección de la información que maneja la empresa y la política de protección de datos está dirigida únicamente a proteger los datos personales, tanto de clientes como de empleados o proveedores.

  8. Buenas tardes,
    Si la empresa en la cual estamos implantando el reglamento de protección de datos es una inmobiliaria, creéis que es obligatorio hacer un registro de tratamiento de datos?

    Ainara

    1. Buenas tardes Ainara, sí, en cualquier empresa que maneje datos personales es necesario realizar ese registro de actividades de tratamiento.

      1. Pues en su artículo dice que no es obligatorio si no se dan las circunstancias del artículo 30.5, o en que quedamos?. Y la inmobiliaria no creo que cumpla con lo esos requisitos.

        1. Buenos días Paco, aunque en la ley no se establezca como obligatorio si no se cumplen esos requisitos mi recomendación es realizarlo ya que, en caso de inspección de la AEPD, será más sencillo justificar el tipo de datos tratados. En la anterior LOPD se exigía inscribir los ficheros en la AEPD y eso se ha sustituido por llevar un registro interno en la propia empresa (Registro de actividades de tratamiento).

  9. Soy propietaria de un blog que utiliza diversas herramientas de publicidad y estadística propiedad de Google y que pide datos personales como el correo electrónico para suscribirse al mismo que gestiona otra herramienta de Google. Estoy obligada a informar a mis usuarios y suscriptores del blog y a presentar este documento en la AEPD? Gracias.

    1. Buenos días Yolanda, al solicitar datos personales a tus suscriptores debes cumplir la normativa de protección de datos. Tienes una herramienta gratuita de la AEPD para adaptarte, te dejo el enlace: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDI0MzkxMjExNTczMTI1MTA4OTMx?updated=true
      También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas/

  10. Buenos dias Ana, tengo una web subcontratada a Ionos, que me gestiona la base de datos de clientes. Me indican que debo contratar una ecommerce y anters cubrir la RGPD en mi empresa, aunque yo no tengo ni empleados ni registro de clientes en mi tienda física.
    Es eso correcto? Que necesito realmente si vendo por internet a traves de mi web?

    1. Buenos días Irene, si en la web recoges datos personales a través de formularios y se realizan ventas debes cumplir el RGPD. Tienes una herramienta gratuita de la AEPD que puede ayudarte con esa adaptación. Te dejo el enlace: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDI0NDk3NjYxNTc0MDgxMzY0NjYx?updated=true
      También puedes solicitar la ayuda de una empresa especializada, aquí tienes un enlace donde puedes pedir hasta cuatro presupuestos: https://ayudaleyprotecciondatos.es/empresas/

  11. Buenas tardes, un grupo de compañeros hemos creado una asociación relacionada con una enfermedad poco común. Nos gustaría saber que necesitamos para cumplir con la LOPD, y para que en un futuro se puedan incorporar mas socios cumpliendo con la ley. También si ya se puede hacer todo online. Muchas gracias.

    1. Buenos días Silvia, para adaptar la asociación a la normativa de Protección de datos tienes una herramienta gratuita de la AEPD para, te dejo el enlace: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDI0MzkxMjExNTczMTI1MTA4OTMx?updated=true
      También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas/

  12. Buenas tardes tengo una clínica de fisioterapia, a mi cargo tengo solo una empleada y las demás personas que trabajan en ella son autónomos. mi pregunta es que me hace falta para la protección de datos de mi empresa.

  13. ESTOY COLABORANDD CON UNA ASOCIACION QUE HASTA AHORA NO TENIA NADA TRAMITADO SOBRE PROTECCION DE DATOS.
    ANTERIOR A LA NUEVA LEY YO MAS O MENOS MANEJABA LA NORMATIVA (CON EL REGISTRO EN NOTA) PERO AHORA ESTOY UN POCO PERDIDA CON EL REGISTRO DE ACTIVIDADES. ME PODRIAN AYUDAR CON MODELOS TIPO.GRACIAS.

  14. Hola, soy psicóloga, autónoma, trabajo con pacientes en una policlínica, quería saber que tipo de documento debo tener y cumplimentar. Muchasgracias

  15. Buenas tardes,
    Soy presidente de una Asociación de personas con discapacidad, tratamos datos personales, datos bancarios,informes médicos de nuestros usuarios, como asociación estamos obligados al registro de actividades de tratamiento? y si estamos obligados que tipo de fichero tenemos que elaborar, hay alguna plantilla oficial para ello?
    Muchas gracias, saludos

  16. Buenos dias!!!
    Tengo una cuenta d banco y este me a pedido un registro de actividad, ahora mismo no estoy tengo un trabajo fijo ni estoy dada de alta como autonoma, pero si hago areglos de rops desde casa, podría hacer un registro de actividad? Esto me supondría algun cambio en cuanto a mi situación laborar?
    Gracias!!!

    1. Buenas tardes Jennider, si no manejas datos personales no necesitas realizar un registro de actividad de tratamiento.

  17. Hola, soy educadora social y estoy empezando con un proyecto de negocio (aún dándole forma y empezando de forma gratuita, hasta poder hacerme autónoma legalmente ) y necesito información acerca de la protección de datos, los tipos de contrato que puedo llevar a cabo y como dirigir mi actividad con todos estos aspectos.
    Llevaré planes de intervención familiar individualizados, con mayores y menores, a veces presencial y otras online. En ocasiones con sesiones de mediación y otras de coaching. Estoy algo perdida, pues hasta ahora he trabajado para asociaciones y la administración pública y aún conociendo el tema de la protección de datos, desconozco si al igual que los psicólogos he de llevar un registro de actividades, el contrato y como puede ser, que ha de reflejarse sí o sí. Los derechos de los usuarios…. En fin si existe ya una ley para mí tambien, si me apoyo en las de psicología o si he de redactarlo yo todo desde cero? Sobre todo al ser un negocio mayormente online y nuevo en algunos aspectos.

    Gracias!

  18. Buenos días. Formo parte de un grupo de apoyo vecinal (red Bellas Vistas). Trabajamos con voluntarios que colaboran haciendo recados (compras, y demás) y les hemos hecho certificados de movimiento a través de un modelo informado a la junta de distrito. Tenemos un documento con info de todo (voluntarios, con nombres y dni) y receptores, con direcciones, para llevar registro de las compras que hemos hecho
    Estamos poniendo en marcha una despensa solidaria para dar alimentos a familias que lo necesitan, y también estamos recogiendo sus datos
    ¿Debemos hacer algo con ese documento donde guardamos la información? ¿Bastaría con cifrarlo y que solo tuvieran acceso algunas personas? En parte ya es así, pero queremos asegurarnos de que lo estamos haciendo bien
    Hemos avisado a la gente de que los datos los estamos apuntando en un listado interno, eso sí

    Gracias por su atención

    Saludos

    1. Buenos días Pilar, al manejar datos personales, debéis adaptaros a la normativa de protección de datos. Para ello tienes una herramienta gratuita de la AEPD, te dejo el enlace: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDI0MzkxMjExNTczMTI1MTA4OTMx?updated=true
      También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas

  19. ¿Una academia de idiomas necesita nombrar un delegado de protección de datos? la ley orgánica 3/2018 de 5 de Diciembre dice lo siguiente:

    Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

    Pero desconozco sí una academia de inglés estaría en ese caso en concreto, ya que no sé si se puede considerar centro docente.

    Gracias

    1. Buenos días Jordan, la academia no está obligada a nombrar un DPD, eso se refiere a centros educativos que ofrecen enseñanzas regladas.

  20. En el caso de un despacho jurídico en el que únicamente trabaja un único abogado que accede a sentencias penales ¿sería necesario el nombramiento de un delegado de protección de datos?.

    Gracias