Protección de datos personales

Registro de las actividades de tratamiento – Cumple con el RGPD

Registro de las actividades de tratamiento record of processing activities MaxPixel CC0 1.0 600x450

La documentación del registro de las actividades de tratamiento es el primer paso que debes completar en el largo camino hacia la implementación de una cultura de responsabilidad proactiva dentro de tu organización.

Se trata de una medida que ha venido a reemplazar a la antigua obligación de inscribir los ficheros ante el registro de la AEPD. En este documento deberás describir los tratamientos que llevas a cabo en tu compañía, con la información mínima que establece el RGPD, y con el nivel de detalle que, bajo tu propio juicio, sea el adecuado.

 

1. ¿Quién está obligado a llevar un registro de las actividades de tratamiento?

El artículo 30 del RGPD establece que deben llevar un registro de las actividades de tratamiento los responsables, los encargados y, en su caso, los representantes de unos u otros.

Si para el RGPD eres uno de esos sujetos, entonces en principio sí deberás llevar un registro de actividades. Ahora bien, existe una excepción para las empresas u organizaciones que empleen a menos de 250 trabajadores. Estas empresas no estarán obligadas a hacer un registro, salvo que el tratamiento:

  1. pueda entrañar un riesgo para los derechos y libertades de los interesados, o;
  2. no sea ocasional, o;
  3. incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

Debido a que las condiciones están redactadas de forma alternativa en el RGPD, parece muy difícil poder acogerse a esta excepción, así que a la práctica es muy probable que todas las empresas que traten datos personales deban llevar un registro de las actividades de tratamiento.

 

2. ¿Qué información debe incluir un registro de tratamientos?

La información que debe contener varía en función de si eres un responsable del tratamiento o un encargado, siendo algo más exigente en el primer caso.

 

2.1. Información a incluir en el registro por el responsable del tratamiento

Si eres responsable del tratamiento, deberás incluir la información que establece el artículo 30.1 y, en su caso el 32.1, que consiste en:

  1. Tu nombre y datos de contacto y, de existir, los del corresponsable, de tu representante, y del delegado de protección de datos;
  2. Los fines del tratamiento;
  3. Una descripción de las categorías de interesados y de las categorías de datos personales;
  4. Las categorías de destinatarios a quienes comunicas o comunicarás los datos, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. Las transferencias de datos personales a un tercer país o una organización internacional, con mención del destinatario y, en el caso de que justifiques las transferencias en tus intereses legítimos imperiosos, la documentación de garantías adecuadas.

 

Además, cuando sea posible, deberás añadir:

  1. Los plazos previstos para la supresión de las diferentes categorías de datos;
  2. Una descripción general de las medidas de seguridad que incluya, entre otras:
    1. la seudonimización y el cifrado de datos personales;
    2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
    4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 

2.2. Información a incluir en el registro por el encargado del tratamiento

Si eres un encargado del tratamiento, deberás incluir la siguiente información:

  1. Tu nombre y datos de contacto, así como los de cada responsable por cuenta de quienes actúes y, en su caso, los de tu representante o representante del responsable y los del delegado de protección de datos;
  2. Las categorías de tratamientos que efectúas por cuenta de cada responsable;
  3. Las transferencias de datos personales a un tercer país u organización internacional, con mención del destinatario y, en el caso de que justifiques las transferencias en tus intereses legítimos imperiosos, la documentación de garantías adecuadas;
  4. Igual que para el responsable, cuando sea posible también deberás incluir una descripción general de las medidas de seguridad.

 

3. Modelos de registro de actividades de tratamiento

No existe un formulario tipo que sea de adopción obligatoria, sino que es tu decisión como responsable o encargado hacer el registro de una manera u otra.

Ahora bien, utilizar o basarte en un modelo reconocido es garantía de que al menos la estructura del registro será correcta, mientras que el contenido es algo que depende completamente de los tratamientos que desarrolles en tu organización, y la elección de un modelo u otro no te ayudará en eso.

A continuación encontrarás tres plantillas distintas, dos de la Agencia Española de Protección de Datos y una de la Information Comissioner’s Office (ICO), que es la autoridad de protección de datos anglosajona.

 

3.1. Ejemplos de registro de las actividades de tratamiento de la AEPD

El primer modelo es el propio registro de las actividades de tratamiento de la Agencia Española de Protección de Datos, que fue puesto a disposición pública en su portal de transparencia recientemente. Puedes consultarlo pinchando aquí.

Aparte de su propio registro, la AEPD dio instrucciones sobre cómo elaborar un registro de las actividades de tratamiento en la “Guía práctica de análisis de riesgos para el tratamiento de datos personales”.

En la guía mencionada, la Agencia describe cómo realizar el registro, la información que debe incluir y ofrece un modelo en el anexo, tanto para responsables como encargados.

 

3.2. Plantilla de registro de actividades de tratamiento de la ICO

La ICO también explica en su sitio web las obligaciones de documentación que tienen los responsables y los encargados del tratamiento, ofreciendo además algunos modelos en excel disponibles para descarga.

Puedes encontrar ambos modelos aquí. La plantilla para responsables del tratamiento lleva el nombre de “Documentation template for controllers”; la de los encargados, “Documentation template for processors”.

En estos modelos, la información cuya inclusión es obligatoria aparece coloreada con fondo verde, mientras que la añadida por la ICO y cuya inclusión es voluntaria, de color azul.

Como decía, la elección de una plantilla u otra, (o ninguna) depende enteramente de ti, ya que no hay una única forma de hacerlo, si bien a mi personalmente me gusta más el registro de la AEPD, lo encuentro más completo.

 

4. ¿Y ya está?

Básicamente eso es todo, no tiene más. Es un documento en el que describes el flujo de datos personales dentro de tu organización, pero eres tú el que decide cómo de específico vas a ser; lo importante es que incluyas los campos requeridos y que los completes con información veraz.

Lo ideal sería que hicieras una buena descripción de cada tratamiento, pues eso te ayudará para más tarde analizar los riesgos y, en su caso y cuando el tratamiento lo requiera, hacer las evaluaciones de impacto sobre la protección de datos.

Finalmente, deberías tener en cuenta que el registro de las actividades de tratamiento debe estar a disposición de la autoridad de control que lo solicite, por lo que es muy recomendable que siempre incluyas en él los nuevos tratamientos, antes de sacarlos a producción, y que lo mantengas bien actualizado (considerando 82 y artículo 30 RGPD).

 


Foto de cabecera de Max Pixel.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *