[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/","headline":"El Registro de actividades de tratamiento en el RGPD","name":"El Registro de actividades de tratamiento en el RGPD","description":"Sabes en qu\u00e9 consiste el Registro de actividades de tratamiento, qui\u00e9n debe realizarlo y c\u00f3mo hacerlo, ejemplo y modelo \u00a1m\u00e1s informaci\u00f3n aqu\u00ed! \u2705","datePublished":"2017-11-27","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2017\/11\/registro-de-actividades-de-tratamiento-portada.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2017\/11\/registro-de-actividades-de-tratamiento-portada.jpg","height":765,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/","commentCount":"51","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment1","dateCreated":"2021-06-23 17:19:11","description":"Buenas tardes Lucas, debes cumplir con la normativa de Protecci\u00f3n de datos. Esto puedes hacerlo a trav\u00e9s de la herramienta Facilita RGPD a la que le dejo el enlace: https:\/\/ayudaleyprotecciondatos.es\/2018\/03\/14\/facilita-rgpd-herramienta-ayuda-empresas\/\nTambi\u00e9n puedes contratar una empresa especializada que te ayude con esta adaptaci\u00f3n. Te dejo un enlace a un directorio donde puedes solicitar hasta 4 presupuestos: https:\/\/ayudaleyprotecciondatos.es\/empresas\/","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment2","dateCreated":"2021-06-22 11:54:39","description":"Buenos d\u00edas quiero ponerme como fot\u00f3grafo aut\u00f3nomo y no se si debo registrarme y que documentaci\u00f3n debo cumplimentar porque tengo que hacer contratos de cesi\u00f3n de derechos de imagen. Gracias","author":{"@type":"Person","name":"Lucas","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment3","dateCreated":"2021-01-12 17:58:14","description":"Buenas tardes Laura, as\u00ed es, debe mantenerse en la propia empresa por si hay una inspecci\u00f3n y os lo piden","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment4","dateCreated":"2021-01-11 02:32:37","description":"Hola, me ha encantado el art\u00edculo. Si he entendido bien, ese registro es un documento que hay que mantener en la empresa (como la facturaci\u00f3n, por ejemplo) por si hubiera una inspecci\u00f3n, pero no es necesario enviarlo a la AEDP ni presentarlo ante ning\u00fan organismo, \u00bfestoy en lo cierto? Muchas Gracias","author":{"@type":"Person","name":"Laura","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment5","dateCreated":"2020-09-07 17:31:01","description":"Buenas tardes, si no manejas ning\u00fan dato personal no es necesario","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment6","dateCreated":"2020-09-05 14:33:19","description":"Hola. Tengo una web de afiliaci\u00f3n de Amazon que usa Analytics y Search Console para fines estad\u00edsticos adem\u00e1s de AdSense para anuncios. En ning\u00fan momento tengo ning\u00fan formulario en el que haya que introducir datos personales ni se pueden dejar comentarios en la web. \u00bfNecesitar\u00eda contar con un Registro de Actividades de tratamiento en ese caso?","author":{"@type":"Person","name":"An\u00f3nimo","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment7","dateCreated":"2020-05-25 18:57:13","description":"Buenas tardes Jordan, en ese caso tampoco ser\u00eda necesario un DPD","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment8","dateCreated":"2020-05-25 12:23:54","description":"Buenos d\u00edas Jordan, la academia no est\u00e1 obligada a nombrar un DPD, eso se refiere a centros educativos que ofrecen ense\u00f1anzas regladas.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment9","dateCreated":"2020-05-25 11:47:42","description":"En el caso de un despacho jur\u00eddico en el que \u00fanicamente trabaja un \u00fanico abogado que accede a sentencias penales \u00bfser\u00eda necesario el nombramiento de un delegado de protecci\u00f3n de datos?.\r\n\r\nGracias","author":{"@type":"Person","name":"Jordan","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#Comment10","dateCreated":"2020-05-25 11:01:30","description":"\u00bfUna academia de idiomas necesita nombrar un delegado de protecci\u00f3n de datos? la ley org\u00e1nica 3\/2018 de 5 de Diciembre dice lo siguiente:\r\n\r\nLos centros docentes est\u00e1n obligados a designar un delegado de protecci\u00f3n de datos (DPD) en los supuestos recogidos en el art\u00edculo 37 del Reglamento General de Protecci\u00f3n de Datos y, en todo caso, cuando ofrezcan ense\u00f1anzas en cualquiera de los niveles establecidos en la legislaci\u00f3n reguladora del derecho a la educaci\u00f3n, as\u00ed como las Universidades p\u00fablicas y privadas, conforme lo estipula el art\u00edculo 34.1 de la Ley Org\u00e1nica de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales (LOPDGDD).\r\n\r\nPero desconozco s\u00ed una academia de ingl\u00e9s estar\u00eda en ese caso en concreto, ya que no s\u00e9 si se puede considerar centro docente.\r\n\r\nGracias","author":{"@type":"Person","name":"Jordan","url":""}}],"about":["LOPDGDD & RGPD"],"wordCount":1927,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Desde la entrada en vigor del Reglamento Europeo de Protecci\u00f3n de Datos (RGPD) en 2018, es obligatorio determinadas condiciones, llevar un registro de actividades de tratamiento. En esta entrada vamos a explicar qu\u00e9 este registro, cu\u00e1ndo se est\u00e1 obligado a llevarlo y c\u00f3mo hacerlo.\u00bfQu\u00e9 es el registro de actividades de tratamiento?\u00bfCu\u00e1ndo es obligatorio realizarlo?\u00bfNecesitas ayuda?\u00bfQu\u00e9 informaci\u00f3n debe contener el registro?\u00bfC\u00f3mo hago el registro de actividades de tratamiento?Registro del Responsable del ficheroRegistro del Encargado del tratamientoPreguntas frecuentes\u00bfC\u00f3mo debo elaborar el Registro de actividades de tratamiento?\u00bfC\u00f3mo debe organizarse el registro de operaciones de tratamiento?Una vez elaborado ese Registro, \u00bfqu\u00e9 hago con \u00e9l?\u00bfQu\u00e9 me puede ocurrir si no tengo ese Registro de actividades de tratamiento?Ejemplo de registroModelo de tratamiento\u00bfNecesitas cumplir el RGPD?\u00bfQu\u00e9 es el registro de actividades de tratamiento?El registro de actividades de tratamiento en el RGPD es una medida que obliga a las empresas y otras entidades a documentar los flujos de datos personales que circulan dentro de ellas. Remplaz\u00f3 a la anterior obligaci\u00f3n de inscribir los ficheros en el Registro General de Protecci\u00f3n de Datos (en Espa\u00f1a se hac\u00eda ante la Agencia Espa\u00f1ola de Protecci\u00f3n de datos) y su elaboraci\u00f3n es el primer paso para cumplir con la normativa vigente en materia de privacidad y protecci\u00f3n de datos.Son los responsables y los encargados del tratamiento de datos quienes deben crear un registro interno que recoja detalladamente las actividades llevadas a cabo. Aunque, como veremos en el siguiente punto, no todas las entidades u organizaciones tienen obligaci\u00f3n de hacerlo.De acuerdo al RGPD el registro de actividades de tratamiento debe estar a disposici\u00f3n de la autoridad de control que lo solicite, por lo que es importante mantenerlo lo m\u00e1s actualizado posible.\u00bfCu\u00e1ndo es obligatorio realizarlo?Realizar el registro de actividades de tratamiento es obligatorio tanto para el responsable del fichero como para el encargado de tratamiento cuando se da alguno de estos requisitos:La empresa u organizaci\u00f3n tiene m\u00e1s de 250 empleados.La empresa, organizaci\u00f3n (con menos de 250 empleados) o aut\u00f3nomo realiza tratamientos que:Puedan entra\u00f1ar un riesgo para los derechos y libertades de los interesadosNo sean ocasionalesIncluyan categor\u00edas especiales de datos personalesOrigen \u00e9tnico o racialOpiniones pol\u00edticasConvicciones religiosas o filos\u00f3ficasAfiliaci\u00f3n sindicalTratamiento de datos gen\u00e9ticosDatos biom\u00e9tricos dirigidos a identificar de manera un\u00edvoca a una persona f\u00edsicaDatos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona f\u00edsicaSe realice un tratamiento de datos personales relativos a condenas e infracciones.\u00bfNecesitas ayuda?\u00a1Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protecci\u00f3n de datos para poder resolver todas tus dudas.He le\u00eddo y acepto el aviso legal y la pol\u00edtica de privacidad\u00bfQu\u00e9 informaci\u00f3n debe contener el registro?El registro de actividades de tratamiento debe contener la siguiente informaci\u00f3n:Identificaci\u00f3n y datos de contacto del responsable o encargado, corresponsable, representante y delegado de protecci\u00f3n de datos (DPO).Fines del tratamiento.Descripci\u00f3n de categor\u00edas de interesados y datos tratados.Categor\u00edas de destinatarios existentes o previstos.Transferencias internacionales de datos y documentaci\u00f3n de garant\u00eda de las transferencias exceptuadas sobre la base de intereses leg\u00edtimos imperiosos.Plazos previstos para la supresi\u00f3n de datos (cuando sea posible).Descripci\u00f3n lo m\u00e1s detallada posible de las medidas de seguridad adoptadas (cuando sea posible).Lo ideal a la hora de aportar la descripci\u00f3n de cada tratamiento que se lleva a cabo en la organizaci\u00f3n, es que esta sea lo m\u00e1s detallada posible, puesto que esto ayudar\u00e1 a realizar despu\u00e9s el an\u00e1lisis de riesgos y, si se requiere, a hacer las evaluaciones de impacto sobre la protecci\u00f3n de datos. \u00bfC\u00f3mo hago el registro de actividades de tratamiento?Para hacer el registro de actividades de tratamiento incluyendo la informaci\u00f3n que hemos indicado m\u00e1s arriba, hay que tener en cuenta que el RGPD diferencia entre el contenido dependiendo si el registro lo elabora el responsable del fichero o el encargado del tratamiento.Si bien, tanto el encargado como el responsable del tratamiento deben mantener los registros de actividades de tratamiento siempre actualizados y tienen la obligaci\u00f3n de cooperar con la autoridad de control para poner a su disposici\u00f3n los registros, si son solicitados por esta.En cualquier caso, el formato en el que se deben recoger los registros puede ser electr\u00f3nico o por escrito.Registro del Responsable del ficheroEl registro del responsable del fichero debe incluir la siguiente informaci\u00f3n:Su nombre y datos de contacto y, si existen, los del corresponsable, los del representante y los del delegado de protecci\u00f3n de datos.Los fines del tratamiento.Una descripci\u00f3n de las categor\u00edas de interesados y de las categor\u00edas de datos personales.Las categor\u00edas de destinatarios a quienes se comunican o comunicar\u00e1n los datos, incluyendo los de terceros pa\u00edses u organizaciones internacionales.Las transferencias de datos personales a un tercer pa\u00eds u organizaci\u00f3n internacional, con menci\u00f3n del destinatario y la documentaci\u00f3n de garant\u00edas adecuadas.Tambi\u00e9n se deber\u00e1 a\u00f1adir cuando sea posible:Los plazos previstos para la supresi\u00f3n de las diferentes categor\u00edas de datos.Una descripci\u00f3n general de las medidas de seguridad, que incluya:La pseudonimizaci\u00f3n y el cifrado de datos personales.La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.La capacidad de restaurar la disponibilidad y el acceso a los datos personajes de forma r\u00e1pida en caso de incidente f\u00edsico o t\u00e9cnico.Un proceso de verificaci\u00f3n, evaluaci\u00f3n y valoraci\u00f3n regulares de la eficacia de las medias t\u00e9cnicas y organizativas para garantizar la seguridad del tratamiento.Registro del Encargado del tratamientoPor su parte, el registro del encargado del tratamiento incluir\u00e1 esta informaci\u00f3n:Su nombre y datos de contacto, as\u00ed como los de cada responsable por cuenta de quienes act\u00fae y, si los hay, los de su representante o representante del responsable y los del DPO.Las categor\u00edas de tratamientos que efect\u00faa por cuenta de cada responsable.Las transferencias de datos personales que efect\u00faa a un tercer pa\u00eds u organizaci\u00f3n internacional, con menci\u00f3n del destinatario y la documentaci\u00f3n de garant\u00eda adecuadas.Y como ocurre con el responsable, cuando sea posible tambi\u00e9n se debe incluir una descripci\u00f3n general de las medidas de seguridad.Preguntas frecuentes\u00bfC\u00f3mo debo elaborar el Registro de actividades de tratamiento?Los responsables o los encargados del tratamiento deber\u00e1n mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposici\u00f3n, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento. Estos registros deben constar siempre por escrito aunque tambi\u00e9n se consideran v\u00e1lidos en formato electr\u00f3nico.\u00bfC\u00f3mo debe organizarse el registro de operaciones de tratamiento?Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protecci\u00f3n de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.No obstante, el registro tambi\u00e9n podr\u00eda organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad b\u00e1sica com\u00fan de todas ellas (por ejemplo, \u201cgesti\u00f3n de clientes\u201d, \u201cgesti\u00f3n contable\u201d o \u201cgesti\u00f3n de recursos humanos y n\u00f3minas\u201d) o con arreglo a otros criterios distintos.Una vez elaborado ese Registro, \u00bfqu\u00e9 hago con \u00e9l?El registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposici\u00f3n de la Autoridad de control si \u00e9sta nos lo solicita.\u00bfQu\u00e9 me puede ocurrir si no tengo ese Registro de actividades de tratamiento?Tanto el RGPD como la LOPD consideran como infracci\u00f3n grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podr\u00e1 ser sancionada con multas de hasta 20 millones de euros o el 4% del volumen global de facturaci\u00f3n anual de la empresa.Ejemplo de registroNo existe propiamente dicho un tipo de modelo de registro de actividades de tratamiento en el RGPD, sino que ser\u00e1 decisi\u00f3n del responsable o el encargado hacer el registro de una forma u otra.Sin embargo, diferentes autoridades de control han elaborado su propio modelo de registro de actividades de tratamiento, como la AEPD o el Information Comissioner\u2019s Office (ICO), para que las organizaciones puedan adaptarlos a sus necesidades o utilizarlos como gu\u00eda para elaborar los suyos.A continuaci\u00f3n os dejamos dos ejemplos de registro de actividades de tratamiento para que os hag\u00e1is una idea de c\u00f3mo son. Hemos usado plantillas diferentes, para que ve\u00e1is diferentes opciones.Aqu\u00ed pod\u00e9is descargar un ejemplo de registro de actividades tratamiento para videovigilanciaLas n\u00f3minas son un tipo de documento que alberga datos personales, por lo que tambi\u00e9n deben gestionar. Aqu\u00ed ten\u00e9is un ejemplo de registro de actividades de tratamiento n\u00f3minasModelo de tratamientoSi lo necesit\u00e1is, desde aqu\u00ed pod\u00e9is descargar un modelo de registro de actividades de tratamiento.\u00bfTienes claro c\u00f3mo hacer este registro de actividades de tratamiento? Si tienes cualquier duda podemos ayudarte. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/27\/registro-actividades-rgpd\/#breadcrumbitem","name":"El Registro de actividades de tratamiento en el RGPD"}}]}]