Registro de actividades de tratamiento y DPD

0

Una de las obligaciones establecidas por el RGPD y la LOPDGDD es la de llevar un registro de actividades de tratamiento.

Esta obligación corresponde al responsable y encargado del tratamiento. Y, cuando exista DPO, él realizará ese registro.

En este post te cuento qué es y cuál debe ser el contenido del registro de actividades de tratamiento.

¿Qué es el Registro de actividades de tratamiento?

En organizaciones con más de 250 empleados, que realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados o que incluya categorías especiales de datos o datos relativos a condenas e infracciones penales, los responsables y encargados del tratamiento de datos deben crear ese registro.

Se trata de un registro interno que recoge de forma detallada las actividades llevadas a cabo en dicho tratamiento. Y debe mantenerse a disposición de la autoridad de control.

El RGPD elimina la obligación que existía, antes del 25 de mayo de 2018, de notificar los ficheros de datos de carácter personal a la AEPD.

E introduce en su lugar la obligación del responsable y el encargado del tratamiento de crear un registro interno que refleje, por escrito y de forma detallada, las actividades de tratamiento que se efectúan bajo su responsabilidad.

Además de ser una obligación para los responsables, el mantenimiento de estos registros de las actividades de tratamiento sirve para demostrar la conformidad con el RGPD y acreditar su cumplimiento (principio de responsabilidad proactiva).

Contenido

Dicho registro contendrá la siguiente información:

  • Identificación y datos de contacto del responsable o encargado, corresponsable, representante y delegado de protección de datos (DPD). Los encargados deberán listar estos datos de los responsables por cuenta de los que actúan.
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos tratados.
  • Categorías de destinatarios existentes o previstos (incluyendo terceros países u organizaciones internacionales).
  • Transferencias internacionales de datos y documentación de garantía de las transferencias internacional exceptuadas sobre la base de intereses legítimos imperiosos.
  • Cuando sea posible:
    • Plazos previstos para la supresión de datos.
    • Descripción lo más detallada posible de las medidas de seguridad adoptadas.

Este registro únicamente será obligatorio para organizaciones con más de 250 empleados. O para aquellas organizaciones que no superen esta cifra, siempre que realicen tratamientos que:

  • puedan suponer un riesgo para los derechos y libertades de los interesados,
  • no sea ocasional o
  • se refiera a datos relativos a condenas e infracciones penales o a categorías especiales de datos.

Finalidad

Como se explica en el considerando 82 del RGPD, la inclusión de esta obligación tiene por objeto demostrar el cumplimiento. De esta forma el responsable o el encargado del tratamiento deben custodiar registros de las actividades de tratamiento bajo su responsabilidad.

Además, los responsables y encargados tienen la obligación de cooperar con la autoridad de control. Por ello, deben poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

La LOPDGDD establece una serie de entidades que tienen la obligación de hacer público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del RGPD. Esas entidades son:

  • órganos constitucionales y las instituciones de las comunidades autónomas análogas a los mismos,
  • Administración General del Estado,
  • Administraciones de las comunidades autónomas,
  • entidades que integran la Administración Local o
  • Banco de España.

Además, la LOPDGDD modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. E incluye entre las obligaciones de publicidad un nuevo artículo que incide en la obligación de las entidades enumeradas anteriormente de publicar “su inventario de actividades de tratamiento”

El incumplimiento con esta obligación supondría una infracción, por el responsable o por el encargado del tratamiento, según corresponda. En el caso de las empresas podría ser sancionada con multa administrativa de 10.000.000 de euros. O de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Registro de actividades del tratamiento y DPD

Según la LOPDGDD, cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

Es decir, tanto si el DPD ha sido designado de manera obligatoria o voluntaria, el responsable o el encargado del tratamiento, según quien tenga que cumplir con la obligación de elaborar el registro de actividades del tratamiento, tienen también obligación de comunicar al DPD cualquier cambio sobre el contenido de este registro.

Al respecto, el Comité Europeo de Protección de Datos en sus directrices sobre los delegados de protección de datos (DPD), hace referencia a esta obligación, la de llevar un registro de actividades del tratamiento y en particular al papel del DPD en relación con la misma.

En concreto, los DPD elaborarán inventarios y mantendrán un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización.

Dicho registro debe considerarse una de las herramientas que permiten al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.

¿Te ha quedado alguna duda sobre el registro de actividades de tratamiento? ¿Sabes cómo debe realizarse?

Espero que me lo hagas saber en comentarios.

Te ayudaré a resolver tus dudas.

Registro de actividades de tratamiento y DPD
4.6 (92%) 5 votos