Ayuda Ley Protección Datos

El Registro de actividades de tratamiento en el RGPD

Desde la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) en 2018, es obligatorio determinadas condiciones, llevar un registro de actividades de tratamiento. En esta entrada vamos a explicar qué este registro, cuándo se está obligado a llevarlo y cómo hacerlo.

¿Qué es el registro de actividades de tratamiento?

El registro de actividades de tratamiento en el RGPD es una medida que obliga a las empresas y otras entidades a documentar los flujos de datos personales que circulan dentro de ellas. Remplazó a la anterior obligación de inscribir los ficheros en el Registro General de Protección de Datos (en España se hacía ante la Agencia Española de Protección de datos) y su elaboración es el primer paso para cumplir con la normativa vigente en materia de privacidad y protección de datos.

Son los responsables y los encargados del tratamiento de datos quienes deben crear un registro interno que recoja detalladamente las actividades llevadas a cabo. Aunque, como veremos en el siguiente punto, no todas las entidades u organizaciones tienen obligación de hacerlo.

De acuerdo al RGPD el registro de actividades de tratamiento debe estar a disposición de la autoridad de control que lo solicite, por lo que es importante mantenerlo lo más actualizado posible.

¿Cuándo es obligatorio realizarlo?

Realizar el registro de actividades de tratamiento es obligatorio tanto para el responsable del fichero como para el encargado de tratamiento cuando se da alguno de estos requisitos:

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

¿Qué información debe contener el registro?

El registro de actividades de tratamiento debe contener la siguiente información:

Lo ideal a la hora de aportar la descripción de cada tratamiento que se lleva a cabo en la organización, es que esta sea lo más detallada posible, puesto que esto ayudará a realizar después el análisis de riesgos y, si se requiere, a hacer las evaluaciones de impacto sobre la protección de datos.

 

¿Cómo hago el registro de actividades de tratamiento?

Para hacer el registro de actividades de tratamiento incluyendo la información que hemos indicado más arriba, hay que tener en cuenta que el RGPD diferencia entre el contenido dependiendo si el registro lo elabora el responsable del fichero o el encargado del tratamiento.

Si bien, tanto el encargado como el responsable del tratamiento deben mantener los registros de actividades de tratamiento siempre actualizados y tienen la obligación de cooperar con la autoridad de control para poner a su disposición los registros, si son solicitados por esta.

En cualquier caso, el formato en el que se deben recoger los registros puede ser electrónico o por escrito.

Registro del Responsable del fichero

El registro del responsable del fichero debe incluir la siguiente información:

También se deberá añadir cuando sea posible:

Registro del Encargado del tratamiento

Por su parte, el registro del encargado del tratamiento incluirá esta información:

Y como ocurre con el responsable, cuando sea posible también se debe incluir una descripción general de las medidas de seguridad.

Preguntas frecuentes

¿Cómo debo elaborar el Registro de actividades de tratamiento?

Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento. Estos registros deben constar siempre por escrito aunque también se consideran válidos en formato electrónico.

¿Cómo debe organizarse el registro de operaciones de tratamiento?

Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente han sido notificados por los responsables a la Agencia de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.

No obstante, el registro también podría organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.

Una vez elaborado ese Registro, ¿qué hago con él?

El registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.

¿Qué me puede ocurrir si no tengo ese Registro de actividades de tratamiento?

Tanto el RGPD como la LOPD consideran como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Y como tal, podrá ser sancionada con multas de hasta 20 millones de euros o el 4% del volumen global de facturación anual de la empresa.

Ejemplo de registro

No existe propiamente dicho un tipo de modelo de registro de actividades de tratamiento en el RGPD, sino que será decisión del responsable o el encargado hacer el registro de una forma u otra.

Sin embargo, diferentes autoridades de control han elaborado su propio modelo de registro de actividades de tratamiento, como la AEPD o el Information Comissioner’s Office (ICO), para que las organizaciones puedan adaptarlos a sus necesidades o utilizarlos como guía para elaborar los suyos.

A continuación os dejamos dos ejemplos de registro de actividades de tratamiento para que os hagáis una idea de cómo son. Hemos usado plantillas diferentes, para que veáis diferentes opciones.

Modelo de tratamiento

Si lo necesitáis, desde aquí podéis descargar un modelo de registro de actividades de tratamiento.

¿Tienes claro cómo hacer este registro de actividades de tratamiento? Si tienes cualquier duda podemos ayudarte.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos