Como ya todos sabéis, en mayo de 2018 entró en vigor el nuevo Reglamento europeo de Protección de Datos.

Y en diciembre de este mismo año se aprobó la nueva LOPD en nuestro país.

Una de las novedades que esta normativa establece es que ya no será necesario inscribir los ficheros la AEPD.

Sin embargo, se establece una nueva obligación para el Responsable del fichero y es la de llevar un Registro de actividades de tratamiento.

Aquí te explico en qué consiste esa obligación y cómo llevarla a cabo.

Obligación de realizar un Registro de actividades del tratamiento

En el RGPD se establece como primera obligación del empresario la elaboración de Registro de actividades del tratamiento en el que debe indicarse:

  • Datos que se recogen.
  • Con que fin.
  • Medidas de seguridad que se aplican.
  • Nivel de seguridad que corresponde.
  • Si el fichero es manual, mixto o automatizado.
  • Si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo.

El objetivo es que el ciudadano pueda conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada. Y dónde puede ejercer sus derechos en protección de datos.

Qué dice el RGPD

En esta nueva normativa europea se considera que la obligación general de notificar el tratamiento de datos personales a las autoridades de control no contribuyó en todos los casos a mejorar la protección de los datos personales.

Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse. Y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas.

Estas operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías. O son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos.

¿NECESITAS CUMPLIR EL RGPD?


¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas las dudas referentes de tu sitio web.


¿Quién está obligado a realizar ese registro?

Dicha obligación corresponde tanto al Responsable del fichero como al Encargado del tratamiento. Sin embargo, el RGPD no obliga a cualquier responsable o encargado a realizar ese Registro de actividades de tratamiento si no que establece unos requisitos:

  • La empresa u organización tenga más de 250 empleados.
  • Se realicen tratamientos que:
    • puedan entrañar un riesgo para los derechos y libertades de los interesados,
    • no sean ocasionales, o
    • incluyan categorías especiales de datos personales.
  • Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

 

 

¿Cómo hacer un Registro de actividades de tratamiento?

El RGPD diferencia el contenido dependiendo de si el Registro lo realiza el Responsable del fichero o el Encargado del tratamiento.

Registro del Responsable del fichero

Si ese registro se realiza por el Responsable del fichero debe contener:

  • Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

Cuando sea posible:

  • Plazos previstos para supresión de datos.
  • Descripción general de medidas de seguridad:
    1. Seudonimización y cifrado de datos personales.
    2. Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    3. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    4. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro del Encargado del tratamiento

El registro que debe llevar el encargado debe contener la siguiente información:

  • Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos.
  • Las categorías de los tratamientos efectuados por cuenta del responsable.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
  • Cuando sea posible, una descripción general de medidas de seguridad.

Preguntas frecuentes

¿Cómo debo elaborar el Registro de actividades de tratamiento?

Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.Estos registro deben constar siempre por escrito aunque también se consideran válidos en formato electrónico.

¿Cómo debe organizarse el registro de operaciones de tratamiento?

Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
No obstante, el Registro también podría organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.

Una vez elaborado ese Registro, ¿qué hago con él?

El Registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.

¿Qué me puede ocurrir si no tengo ese Registro de actividades de tratamiento?

Tanto el RGPD como el Anteproyecto de la nueva LOPD consideran como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podrá ser sancionada con multas de hasta  millones de euros o el 4% del volumen global de facturación anual de la empresa.

Ejemplo

La AEPD ha publicado un ejemplo de cómo debe elaborarse este Registro de actividades de tratamiento con la finalidad de ayudar a responsables y encargados del tratamiento en el cumplimiento de esta obligación establecida en el RGPD y la LOPDGDD.

En este Registro la AEPD ha incluido todo el contenido especificado en el artículo 30 del RGPD y ha añadido la base jurídica que legitima el tratamiento. Se definen los distintos tratamiento realizados por la Agencia y se modifican o incluyen nuevos tratamientos en cumplimiento de esta nueva normativa.

Muchas de esas actividades de tratamiento publicadas por la AEPD son similares a las que puede realizar cualquier empresa u organismo pero los responsables del tratamiento tienen libertad para establecer los tratamientos específicos que realicen.

Modelo

Descarga aquí el modelo de Registro de actividades de tratamiento.

¿Tienes claro cómo hacer este Registro de actividades de tratamiento? Si tienes cualquier duda estaré encantada de ayudarte.

El Registro de actividades de tratamiento en el RGPD, modelo y ejemplo
4.5 (90.71%) 28 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Soy presidenta de una comunidad de vecinos y queria saber qual es exactamente el documento a cumplimentar para la LOPD.
    Gracias

    1. Buenos días Laura, el Registro de actividades de tratamiento sustituye a la obligación anterior de inscribir los ficheros en la AEPD. Le dejo un enlace al modelo de documento que deben tener: https://ayudaleyprotecciondatos.es/modelo-registro-actividades-tratamiento/
      No obstante, también deben tener otros documentos para cumplir con la LOPDGDD al manejar datos personales en la comunidad, sobre todo si tienen cámaras de videovigilancia. Le dejo 2 enlaces para ayudarle con todos los trámites, uno es para hacerlo por tu cuenta (GRATIS) explicándole los pasos a seguir https://ayudaleyprotecciondatos.es/2016/05/05/proteccion-datos-empresas-gratis/ y, la otra opción (RECOMENDADO), que pida presupuesto a varias consultoras de protección de datos desde este directorio: https://ayudaleyprotecciondatos.es/empresas/

  2. Si las empresas de menos de 250 empleados no están obligadas a llevar el registro de actividades de tratamiento, qué deben hacer para cumplir la RGPD. ¿A qué están obligadas?

    1. Buenas tardes Susana, aunque la ley no obliga a esas empresas a tener el Registro de actividades de tratamiento sí es recomendable que lo tengan para llevar un control interno del tipo de datos que manejan. También deben cumplir otros muchos requisitos como obtener el consentimiento de clientes, realizar un análisis de riesgos, incluir las cláusulas informativas y políticas de privacidad, etc. En este post tienes toda la información sobre los requisitos necesarios para cumplir el RGPD: https://ayudaleyprotecciondatos.es/2017/06/14/guia-reglamento-general-proteccion-datos/

  3. Buenos días, tengo una consulta de fisioterapia y tengo que ponerme al día con la ley de protección de datos, no utilizo ordenador, trato con pacientes y tengo datos sanitarios que recojo en consulta.
    No se por donde empezar para cumplir con la ley dePD
    Pueden ayudarme?
    Gracias un saludo

    1. Buenas tardes Indira, La AEPD ha puesto a disposición de las empresas y autónomos la herramienta Facilita para ayudar a cumplir el RGPD. Tienes información sobre esa herramienta en este post: https://ayudaleyprotecciondatos.es/2018/03/14/facilita-rgpd-herramienta-ayuda-empresas/
      No obstante, en tu caso, al tratar datos de salud considerados como sensibles, te recomiendo contratar una empresa especializada para que te realice esa adaptación, aquí tienes el enlace al directorio donde puedes solicitar presupuestos: https://ayudaleyprotecciondatos.es/empresas/

  4. Buenos días. Una duda que me surge.
    Cuando hay distintos tipos de datos (por ejemplo, empleados, clientes y suscriptores no tienen ni la misma finalidad, ni el mismo tratamiento ni probablemente se ceden a las mismas empresas) ¿debe crearse un apartado para cada uno dentro de cada punto, crear documentos independientes o qué se hace?
    Gracias de antemano.

    1. Buenos días Eva, en ese caso en el Registro de actividades de tratamiento se crearán apartados diferentes (clientes, empleados, etc.) indicando en cada uno el tipo de datos tratados, la finalidad, cesiones o transferencias, la legitimación y el plazo de conservación.

  5. Buenas tardes,
    me gustaría saber si el modelo a seguir para el Registro de actividades de tratamiento es el mismo para entidades públicas y privadas. En caso de no serlo, agradecería saber donde podría encontrar un modelo aplicable a entidades públicas
    Muchas gracias.
    Un saludo.

    1. Buenas tardes Clara, el contenido mínimo del Registro de actividades de tratamiento es el mismo para entidades públicas y privadas.

  6. Buenas tardes,
    Soy secretaria de un club de tiro con arco muy pequeño, y querría saber si tenemos obligación de nombrar Delegado de Protección de Datos o sirve alguna otra figura responsable. También si tenemos obligación de tener política de seguridad y política de protección de datos y qué diferencia hay entre ellas. Muchas gracias

    1. Buenos días Alicia, en este caso no existe obligación de designar un Delegado de Protección de datos aunque sí deben cumplir con los demás requisitos exigidos por la normativa. La política de seguridad de la información consiste en la adopción de una serie de medidas de seguridad que garanticen la protección de la información que maneja la empresa y la política de protección de datos está dirigida únicamente a proteger los datos personales, tanto de clientes como de empleados o proveedores.