Registro de actividades de tratamiento del RGPD

Registro de actividades de tratamiento del RGPD2019-08-18T11:29:55+00:00

Guía completa sobre el registro de actividades de tratamiento del RGPD, con acceso a modelos y ejemplos de organismos oficiales.

Artículos relacionados:

Qué es el registro de actividades de tratamiento

El registro de actividades de tratamiento es una medida de responsabilidad proactiva introducida por el artículo 30 del RGPD y que obliga a las empresas a documentar los flujos de datos personales que ocurren dentro de la empresa u organización.

Esta medida reemplazó a la antigua obligación que existía en muchos Estados Miembros de inscribir los ficheros en un registro (ante el registro de la AEPD en España) y su elaboración constituye el primer paso a tomar para alcanzar una verdadera cultura de cumplimiento normativo en privacidad y protección de datos.

El registro de actividades de tratamiento debe estar a disposición de la autoridad de control que lo solicite, por lo que es muy recomendable que siempre incluyas en él los nuevos tratamientos, antes de sacarlos a producción, y que lo mantengas bien actualizado (considerando 82 y artículo 30 RGPD).

Quién está obligado a realizar un registro de actividades

Están obligadas a llevar un registro de actividades de tratamientos esas empresas, organizaciones o personas físicas que, actuando como responsable, encargado o representante, traten datos personales y esos tratamientos queden bajo el ámbito de aplicación del RGPD.

Si debes cumplir el RGPD y eres uno de esos sujetos, entonces sí deberás llevar un registro de actividades, salvo que puedas acogerte a la excepción del artículo 30.5. Pueden acogerse a esta excepción de llevar un registro las empresas u organizaciones que empleen a menos de 250 trabajadores, salvo que el tratamiento:

  1. pueda entrañar un riesgo para los derechos y libertades de los interesados, o;
  2. no sea ocasional, o;
  3. incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

Debido a que las condiciones están redactadas de forma alternativa en el RGPD, parece muy difícil poder acogerse a esta excepción, así que a la práctica es muy probable que todas las empresas que traten datos personales deban llevar un registro de actividades de tratamiento.

Contenido del registro de tratamientos

El registro de actividades de tratamiento debe contener una descripción de cada tratamiento que llevas a cabo en tu organización, incluyendo todos los puntos que exige el RGPD.

Respecto a cuánta información es necesario incluir, es suficiente con recoger una información mínima y concisa, siendo tu decisión la de incluir más o menos información; lo importante es que incluyas todos los campos requeridos y que los completes con información veraz.

Lo ideal sería que hicieras una buena descripción de cada tratamiento, pues eso te ayudará para más tarde analizar los riesgos y, en su caso y cuando el tratamiento lo requiera, hacer las evaluaciones de impacto sobre la protección de datos.

Pasando ya a la información que debe contener el registro, esta varía en función de si eres un responsable del tratamiento o un encargado, siendo algo más exigente en el primer caso.

Registro de actividades del responsable del tratamiento

Si eres responsable del tratamiento, deberás incluir la información que establece el artículo 30.1 y, en su caso el 32.1, que consiste en:

  1. Tu nombre y datos de contacto y, de existir, los del corresponsable, de tu representante, y del delegado de protección de datos;
  2. Los fines del tratamiento;
  3. Una descripción de las categorías de interesados y de las categorías de datos personales;
  4. Las categorías de destinatarios a quienes comunicas o comunicarás los datos, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. Las transferencias de datos personales a un tercer país o una organización internacional, con mención del destinatario y, en el caso de que justifiques las transferencias en tus intereses legítimos imperiosos, la documentación de garantías adecuadas.

Además, cuando sea posible, deberás añadir:

  1. Los plazos previstos para la supresión de las diferentes categorías de datos;
  2. Una descripción general de las medidas de seguridad que incluya, entre otras:
    1. la seudonimización y el cifrado de datos personales;
    2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
    4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro de actividades del encargado

Si eres un encargado del tratamiento, deberás incluir la siguiente información:

  1. Tu nombre y datos de contacto, así como los de cada responsable por cuenta de quienes actúes y, en su caso, los de tu representante o representante del responsable y los del delegado de protección de datos;
  2. Las categorías de tratamientos que efectúas por cuenta de cada responsable;
  3. Las transferencias de datos personales a un tercer país u organización internacional, con mención del destinatario y, en el caso de que justifiques las transferencias en tus intereses legítimos imperiosos, la documentación de garantías adecuadas;

Igual que para el responsable, cuando sea posible también deberás incluir una descripción general de las medidas de seguridad.

Modelos de registro de actividades de tratamiento del RGPD

No existe un formulario tipo que sea de adopción obligatoria, sino que es tu decisión como responsable o encargado hacer el registro de una manera u otra.

Ahora bien, utilizar o basarte en un modelo reconocido es garantía de que al menos la estructura del registro será correcta, mientras que el contenido es algo que depende completamente de los tratamientos que desarrolles en tu organización, y la elección de un modelo u otro no te ayudará en eso.

A continuación encontrarás tres plantillas distintas, dos de la Agencia Española de Protección de Datos y una de la Information Comissioner’s Office (ICO), que es la autoridad de protección de datos anglosajona.

Ejemplos de registro de las actividades de tratamiento de la AEPD

El primer modelo es el propio registro de las actividades de tratamiento de la Agencia Española de Protección de Datos (AEPD), que fue puesto a disposición pública en su portal de transparencia recientemente. Puedes consultarlo pinchando aquí.

Aparte de su propio registro, la AEPD dio instrucciones sobre cómo elaborar un registro de las actividades de tratamiento en la “Guía práctica de análisis de riesgos para el tratamiento de datos personales”.

En la guía mencionada, la Agencia describe cómo realizar el registro, la información que debe incluir y ofrece un modelo en el anexo, tanto para responsables como encargados.

Plantilla de registro de actividades de la ICO

La ICO también explica en su sitio web las obligaciones de documentación que tienen los responsables y los encargados del tratamiento, ofreciendo además algunos modelos en excel disponibles para descarga.

Puedes encontrar ambos modelos aquí. La plantilla para responsables del tratamiento lleva el nombre de “Documentation template for controllers”; la de los encargados, “Documentation template for processors”.

En estos modelos, la información cuya inclusión es obligatoria aparece coloreada con fondo verde, mientras que la añadida por la ICO y cuya inclusión es voluntaria, de color azul.

Como decía, la elección de una plantilla u otra, (o ninguna) depende enteramente de ti, ya que no hay una única forma de hacerlo, así que eres libre de elegir la que mejor se adapta a tus necesidades o crear tu propia plantilla.

Modelo de registro de tratamientos para responsables de la CNIL

El 25 de julio de 2019 la CNIL publicó un nuevo modelo de registro de actividades de tratamiento. La propuesta de la autoridad supervisora francesa, especialmente dirigida a pequeñas organizaciones que actúan como responsables del tratamiento, consiste en una plantilla básica para satisfacer las necesidades más habituales que puede presentar un tratamiento con datos personales.

El modelo de la CNIL está recogido en una hoja de cálculo en formato ods y consta de 4 partes: (i) Tutorial; (ii) Lista de tratamientos; (iii) Modelo de registro, y; (iv) Ejemplo de registro.

El modelo de registro se encuentra disponible en la página web de la CNIL en idioma francés, pero para esos que estéis interesados y queráis usarlo, he creado una versión en español y otra en inglés:

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo