Una de las novedades introducidas por el RGPD y la LOPDGDD es que ya no existe obligación de notificar los ficheros de datos personales a la AEPD. Esa obligación se ha sustituido por la de llevar un Registro de actividades de tratamiento en la empresa. ¿Sabes en qué consiste ese Registro y cuál debe ser su contenido? No te preocupes, aquí te lo explico todo.
Registro de actividades de tratamiento, ¿qué es?
El Registro de actividades de tratamiento es un documento realizado a nivel interno por la empresa en el que deben constar:
- El tipo de datos personales que se recopilan
- Los fines para los que van a usarse esos datos
- Si esos datos van a cederse a algún tercero o transferirse a países situados fuera de la UE
- Las medidas de seguridad que se aplicarán para proteger esos datos
- El formato en el que se almacenan los datos: papel o sistemas informáticos
Llevar ese Registro de actividades de tratamiento es una de las obligaciones derivadas del principio de Responsabilidad proactiva (Accountability) exigido en el RGPD.
Es decir, la empresa debe registrar todos los tratamientos de datos que realiza, tanto de sus empleados como de clientes, proveedores, alumnos, pacientes, etc. Y valorará si esos datos personales tratados son acordes a los fines y legitimación existente para su tratamiento.
Objetivo
El principal objetivo de la elaboración del Registro de actividades de tratamiento es dar a conocer a todos los interesados de manera clara el motivo para el que se recogen sus datos personales, tanto por una empresa privada como por un organismo público.
Y se indicará a esos afectados dónde y cómo pueden ejercer sus derechos de acceso, rectificación, limitación, cancelación, supresión y portabilidad sobre sus datos personales.
Regulación
El Registro de actividades de tratamiento se regula en el RGPD y en la LOPDGDD.
RGPD
El RGPD regula en su artículo 30 la obligación de llevar un Registro de actividades de tratamiento y establece el contenido del mismo tanto para los responsables como para los encargados del tratamiento.
El contenido es muy similar al existente en los ficheros que se debían notificar a la AEPD. Pero se elimina esa obligación de notificación ya que las autoridades europeas consideran que eso no supuso una mejora en la protección de los datos personales.
Llevar ese Registro interno supone que las empresas se centren en el tipo de tratamientos que realizan y que, según su alcance, naturaleza y finalidades, puedan suponer un riesgo elevado para los derechos y libertades de los afectados.
LOPDGDD
La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), aprobada en diciembre de 2018 para adaptar en España el RGPD, dedica su artículo 31 a regular el Registro de actividades de tratamiento.
Establece la obligación del responsable y del encargado del tratamiento de llevar este Registro y se remite a lo indicado en el RGPD respecto a su contenido. Y se indica que los órganos judiciales, las administraciones públicas y otras entidades de derecho público están obligados a publicar ese Registro de actividades de tratamiento.
¿Quién está obligado a elaborar el Registro de actividades de tratamiento?
Los obligados a llevar un Registro de actividades de tratamiento son los responsables y los encargados del tratamiento.
El RGPD establece unos requisitos para elaborar ese registro:
- La empresa tenga más de 250 trabajadores
- Se efectúen tratamientos que no sea esporádicos, que puedan poner en peligro los derechos y libertades de los afectados o se refieran a datos especialmente protegidos
- Los tratamientos afecten a datos relativos a condenas penales.
Sin embargo, aunque el RGPD solo exija obligatoriamente el Registro de actividades de tratamiento en esos supuestos, es recomendable que todas las empresas lo realicen. De esa forma tendrán organizados todos los datos personales que manejan, lo que les facilitará el cumplimiento de la normativa.
¿Cómo elaborar ese Registro?
Ese Registro debe elaborarse sobre conjuntos estructurados de datos. Para ello resultará útil acudir a los ficheros que se habían notificado a la AEPD ya que el contenido prácticamente es el mismo.
No obstante, se establece que la empresa tiene libertad para decidir cómo elaborar y gestionar el Registro de actividades de tratamiento.
Existen dos actividades obligatorias según la normativa de Protección de datos que deberían incluirse en ese Registro de actividades de tratamiento:
- Atención de las solicitudes de ejercicio de derechos por los interesados: esto debe incluirse como actividad de tratamiento específica ya que todas las entidades al recoger datos personales deben indicar a sus interesados el procedimiento para ejercer sus derechos.
- Notificación de brechas de seguridad a los afectados y a la AEPD: en esta actividad se incluirán los datos personales utilizados para cumplir con esa obligación establecida en el RGPD.
Fases
A la hora de elaborar el Registro de actividades de tratamiento podemos distinguir dos fases:
- Revisión de todas las actividades de tratamiento que realiza la empresa (por ejemplo, gestión de clientes, de empleados, contabilidad, gestión de proveedores, etc.)
- Revisión de las obligaciones impuestas por la normativa de Protección de datos que deben incluirse en ese Registro.
Contenido
Existe una distinción en el RGPD entre el Registro de actividades del responsable del tratamiento y el del encargado del tratamiento.
Registro del responsable
El contenido del Registro de actividades de tratamiento del responsable será el siguiente:
- Datos identificativos y de contacto del responsable y del Delegado de Protección de Datos, en caso de que lo haya nombrado.
- Base de legitimación para tratar esos datos (puede ser el consentimiento del interesado, un contrato o el interés legítimo).
- Propósito con el que se van a tratar los datos personales.
- Especificación de los tipos de datos y de interesados. Los tipos de datos a tratar pueden ser: datos identificativos, profesionales y académicos, referidos a circunstancias sociales o económicas, de salud, ideológicos, etc.
- Clases de destinatarios a los que van a comunicarse esos datos
- Si van a realizarse transferencias internacionales de datos fuera de la UE y las garantía previstas para esas transferencias.
- Detalle de las medidas de seguridad que van a aplicarse sobre esos datos: medidas que garanticen la disponibilidad, confidencialidad e integridad de los datos personales y que permitan recuperar el acceso rápido a los mismos en casos de incidentes de seguridad. Un ejemplo de esas medidas de seguridad es el cifrado de los datos o las seudonimización.
- Plazo durante el que van a conservarse los datos personales.
Registro del encargado
El contenido del Registro llevado por el encargado del tratamiento debe ser el siguiente:
- Datos de identificación y contacto del encargado del tratamiento y de su Delegado de Protección de datos, si lo tiene.
- Legitimación para el tratamiento.
- Los tipos de actividades de tratamiento que va a realizar por cuenta del responsable.
- Medidas de seguridad que va a aplicar para garantizar la seguridad de los datos que maneja.
- Si van a efectuarse transferencias internacionales a países situados fuera de la Unión europea y las garantías establecidas.
Preguntas frecuentes
¿En qué formato debo tener el Registro de actividades de tratamiento?
El Registro de actividades de tratamiento debe establecerse por escrito o en formato electrónico. Ambos formatos se consideran válidos.
Ese Registro debe facilitarse a la AEPD en caso de que lo solicite para supervisar los tratamientos que realiza la empresa.
¿Qué hago con ese Registro una vez elaborado?
El Registro de actividades de tratamiento debes mantenerlo en la empresa, actualizarlo y facilitárselo a la AEPD si te lo solicita.
¿Qué pasa si no he elaborado el Registro de actividades de tratamiento?
En ese caso estarías cometiendo una infracción grave, según el RGPD y la LOPDGDD, y pueden sancionarte con multas de hasta 10 millones de euros o el 2% del volumen total de facturación anual.