1.2 MEDIDAS DE RESPONSABILIDAD PROACTIVA

1.2.1 REGISTRO DE ACTIVIDADES

El Registro de actividades viene regulado en el art. 30 y considerandos 82 y 89 del RGPD.

Artículo 30: Registro de las actividades de tratamiento

  1. Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
    1. el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos;
    2. los fines del tratamiento;
    3. una descripción de las categorías de interesados y de las categorías de datos personales;
    4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
    5. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 (Excepciones para situaciones específicas), apartado 1, párrafo segundo, la documentación de garantías adecuadas;
    6. cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
    7. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32 (Seguridad del tratamiento), apartado 1.
  2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
    1. el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del Delegado de Protección de Datos;
    2. las categorías de tratamientos efectuados por cuenta de cada responsable;
    3. en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo (Excepciones para situaciones específicas), la documentación de garantías adecuadas;
    4. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, (Registro de las actividades de tratamiento) apartado 1.
  3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
  4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.
  5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, (Tratamiento de categorías especiales de datos personales) apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).

Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.

Alcance

El cumplimiento de esta medida es obligatorio para:

  1. Organizaciones o empresas que empleen a más de 250 trabajadores.
  2. Organizaciones o empresas que realicen tratamientos de datos con las siguientes características:
    • Tratamientos que puedan ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas e infracciones penales.
    • Tratamientos que no sean ocasionales.

 

Contenido

La información que debe contener dichos registros, difiere en función de si se trata de un responsable de tratamiento o un encargado.

En el caso de los responsables de tratamiento, los registros de actividades deberán incluir la siguiente información:

  • El Nombre y los datos de contacto del responsable, y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos;
  • Los fines del tratamiento;
  • Las categorías de interesados;
  • Las categorías de datos personales;
  • Las categorías de destinatarios;
  • Las transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas;
  • Los plazos previstos para la supresión de las diferentes categorías de datos;
  • Descripción general de las medidas técnicas y organizativas de seguridad.

Por otro lado, en el caso de los encargados de tratamiento el Registro de Actividades deberá incluir la siguiente información:

  • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del Delegado de Protección de Datos;
  • Las categorías de datos personales efectuadas por cuenta de cada responsable;
  • Las transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas;
  • Descripción general de las medidas técnicas y organizativas de seguridad.

Por último, se establece que dichos Registros de Actividades deberán constar por escrito y quedar a disposición de la Autoridad de Control que lo solicite.

Podemos concluir, que el Registro de Actividades es obligatorio para aquellas empresas con empleados superiores a 250 trabajadores o que teniendo menos trabajadores sus tratamientos supongan un mayor riesgo para los derechos y libertades de los interesados. No obstante, entendemos que, junto con el enfoque de aproximación al riesgo, esta medida es clave para identificar y organizar el cumplimiento de las medidas en función del tipo de tratamiento o actividades identificadas. Es altamente recomendable que dicho trabajo de identificación y registro de actividades o tratamientos de datos se realice previamente a la adopción de las medidas técnicas y organizativas en materia de protección de datos, sea o no obligatorio para la empresa, ya que de esta manera podremos determinar el ámbito de aplicación de las políticas o procesos de protección de datos. A su vez, es aconsejable completar el contenido de dichos registros de actividades con más información de la realmente exigida y permitir así cumplir con otras obligaciones, como por ejemplo la relativa al consentimiento informado del interesado. Es deseable, por tanto, incluir información adicional relacionada con el cumplimiento de los principios de protección de datos como, por ejemplo:

  • Procedimiento para la obtención del consentimiento, y sistema empleado para la conservación y localización del mismo.
  • Marco o base jurídica aplicable al consentimiento.
  • Cláusulas de información utilizadas e identificación de los formularios, contratos o documentos que las incluyan, así como el procedimiento utilizado para su conservación y localización.
  • Áreas o departamentos responsables del tratamiento, identificando la o las personas de contacto responsables.
  • Áreas o departamentos que pueden realizar tratamiento o acceso a los datos personales.
  • Información de la/s personas de contacto incluyendo el área o departamento para el ejercicio de los derechos de los interesados.
  • Volumen de datos tratados y número de personas afectadas.

Aunque de forma completamente distinta, el Registro de Actividades vendría en cierta medida a cubrir la obligación establecida por la normativa anterior respecto de la notificación de ficheros a las Autoridades de Control de datos, la cual expresamente ha sido eliminada por el RGPD a través del considerando 89:

(89) Eliminación de la obligación de notificación de ficheros.

La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.


CONCLUSIONES

  • responsables y encargados de tratamiento con más de 250 trabajadores estarán obligados a llevar un Registro de Actividades de los tratamientos de datos realizados por su organización.
  • Los responsables y encargados de tratamiento con menos de 250 trabajadores también estarán obligados si realizan tratamientos no ocasionales y los mismos suponen un riesgo para los derechos y libertadas de los interesados o incluyen categorías especiales de datos o datos sobre condenas e infracciones.
  • El registro de actividades es un elemento clave para determinar el ámbito de aplicación de las políticas de protección de datos.