guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Registro de actividades de tratamient...

Registro de actividades de tratamiento (Protección de Datos)

Los responsables y encargados del tratamiento de datos deben crear un registro interno que recoja de forma detallada las actividades llevadas a cabo. Este registro es obligatorio en organizaciones con más de 250 empleados, o que realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados o que incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

Proteccion de Datos Personales
Protección de datos

¿Cuándo es obligatorio el registro de actividades del tratamiento?

El Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) elimina la obligación que existía, antes del 25 de mayo de 2018, de notificar los ficheros de datos de carácter personal a la autoridad de control, e introduce en su lugar la obligación del responsable y el encargado del tratamiento de crear un registro interno que refleje, por escrito y de forma detallada, las actividades de tratamiento que se efectúan bajo su responsabilidad (art. 30 RGPD).

Dicho registro debe mantenerse a disposición de la autoridad de control y contendrá la siguiente información:

  • - Identificación y datos de contacto del responsable o encargado, corresponsable, representante y delegado de protección de datos (DPD). Los encargados deberán listar estos datos de los responsables por cuenta de los que actúan.
  • - Fines del tratamiento.
  • - Descripción de categorías de interesados y datos tratados.
  • - Categorías de destinatarios existentes o previstos (incluyendo terceros países u organizaciones internacionales).
  • - Transferencias internacionales de datos y documentación de garantía de las transferencias internacional exceptuadas sobre la base de intereses legítimos imperiosos.
  • - Cuando sea posible:
    • Plazos previstos para la supresión de datos.
    • Descripción lo más detallada posible de las medidas de seguridad adoptadas.

Este registro únicamente será obligatorio para organizaciones con más de 250 empleados o para aquellas organizaciones que no superen esta cifra, siempre que realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, que el tratamiento no sea ocasional o que incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

¿Cuál es el objeto del registro de actividades del tratamiento?

Como se explica en el considerando 82 del RGPD, la inclusión de esta obligación en el RGPD tiene por objeto demostrar el cumplimiento, de manera que el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

En el caso de las entidades a las que se refiere el artículo 77.1 LOPDGDD, tales como los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local o el Banco de España, tienen la obligación de hacer público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal, como se indica en el artículo 31.2 de la LOPDGDD.

Además, en virtud de la DF 11ª LOPDGDD, se modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, para incluir entre las obligaciones de publicidad un nuevo artículo que incide en la obligación de las entidades enumeradas en el artículo 77.1 LOPDGDD de publicar su inventario de actividades de tratamiento.

El incumplimiento con esta obligación, atendiendo al apartado 4, letra a) del artículo 83 del RPGD, supondría una infracción por el responsable o por el encargado del tratamiento, según corresponda, que en el caso de las empresas podría ser sancionada con multa administrativa de 10.000.000 de euros o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

¿Debe conocer el DPD el registro de actividades de tratamiento?

El artículo 31 LOPDGDD indica que Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro. Es decir, tanto si el delegado de protección de datos (DPD) ha sido designado de manera obligatoria o voluntaria, el responsable o el encargado del tratamiento, según quien tenga que cumplir con la obligación de elaborar el registro de actividades de tratamiento, tienen también obligación de comunicar al DPD cualquier cambio sobre el contenido de este registro.

Al respecto, el Comité Europeo de Protección de Datos (CEPD) en sus directrices sobre los delegados de protección de datos (DPD), WP 243 rev.01, hace referencia a esta obligación, la de llevar un registro de actividades del tratamiento y en particular al papel del DPD en relación con la misma. En concreto, el CEPD indica que [e]n la práctica, es frecuente que los DPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización. Esta práctica se ha establecido en virtud de muchas legislaciones nacionales vigentes y de las normas sobre protección de datos aplicables a las instituciones y organismos de la UE.

Y concluye el CEPD que [d]icho registro debe considerarse una de las herramientas que permiten al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.

Recuerde que…

  • Los responsables y encargados en materia de protección de datos deberán crear un registro interno que reflejo de forma fiel las actividades realizadas en el tratamiento de datos.
  • La autoridad de control podrá acceder al mismo en cualquier momento.
  • El registro contendrá, al menos, la identificación de responsables, encargados, representantes y DPD, los fines del tratamiento y la descripción y categorías de datos, entre otros.
  • Asimismo, se registrarán los destinatarios y las transferencias internacionales.
  • Esta obligación va dirigida únicamente a las organizaciones con más de 250 empleados y aquellas que, no superándolos, realicen tratamientos que, en particular, puedan entrañar un riesgo para los interesados.
Subir