Guía completa sobre el registro de actividades de tratamiento del RGPD, con acceso a modelos y ejemplos de organismos oficiales.

Qué es el registro de actividades de tratamiento

El registro de actividades de tratamiento es una medida de responsabilidad proactiva introducida por el artículo 30 del RGPD y que obliga a las empresas a documentar los flujos de datos personales que ocurren dentro de la empresa u organización.

Esta medida reemplazó a la antigua obligación que existía en muchos Estados Miembros de inscribir los ficheros en un registro (ante el registro de la AEPD en España) y su elaboración constituye el primer paso a tomar para alcanzar una verdadera cultura de cumplimiento normativo en privacidad y protección de datos.

El registro de actividades de tratamiento debe estar a disposición de la autoridad de control que lo solicite, por lo que es muy recomendable que siempre incluyas en él los nuevos tratamientos, antes de sacarlos a producción, y que lo mantengas bien actualizado (considerando 82 y artículo 30 RGPD).

Quién está obligado a realizar un registro de actividades

El artículo 30 del RGPD establece que deben llevar un registro de actividades de tratamiento los responsables, los encargados y, en su caso, los representantes de unos u otros.

Si para el RGPD eres uno de esos sujetos, entonces en principio sí deberás llevar un registro de actividades. Ahora bien, existe una excepción para las empresas u organizaciones que empleen a menos de 250 trabajadores. Estas empresas no estarán obligadas a hacer un registro, salvo que el tratamiento:

  1. pueda entrañar un riesgo para los derechos y libertades de los interesados, o;
  2. no sea ocasional, o;
  3. incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

Debido a que las condiciones están redactadas de forma alternativa en el RGPD, parece muy difícil poder acogerse a esta excepción, así que a la práctica es muy probable que todas las empresas que traten datos personales deban llevar un registro de actividades de tratamiento.

Contenido del registro de tratamientos

El registro de actividades de tratamiento debe contener una descripción de cada tratamiento que llevas a cabo en tu organización, incluyendo todos los puntos que exige el RGPD.

Respecto a cuánta información es necesario incluir, es suficiente con recoger una información mínima y concisa, siendo tu decisión la de incluir más o menos información; lo importante es que incluyas todos los campos requeridos y que los completes con información veraz.

Lo ideal sería que hicieras una buena descripción de cada tratamiento, pues eso te ayudará para más tarde analizar los riesgos y, en su caso y cuando el tratamiento lo requiera, hacer las evaluaciones de impacto sobre la protección de datos.

Pasando ya a la información que debe contener el registro, esta varía en función de si eres un responsable del tratamiento o un encargado, siendo algo más exigente en el primer caso.

Registro de actividades del responsable del tratamiento

Si eres responsable del tratamiento, deberás incluir la información que establece el artículo 30.1 y, en su caso el 32.1, que consiste en:

  1. Tu nombre y datos de contacto y, de existir, los del corresponsable, de tu representante, y del delegado de protección de datos;
  2. Los fines del tratamiento;
  3. Una descripción de las categorías de interesados y de las categorías de datos personales;
  4. Las categorías de destinatarios a quienes comunicas o comunicarás los datos, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. Las transferencias de datos personales a un tercer país o una organización internacional, con mención del destinatario y, en el caso de que justifiques las transferencias en tus intereses legítimos imperiosos, la documentación de garantías adecuadas.

Además, cuando sea posible, deberás añadir:

  1. Los plazos previstos para la supresión de las diferentes categorías de datos;
  2. Una descripción general de las medidas de seguridad que incluya, entre otras:
    1. la seudonimización y el cifrado de datos personales;
    2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
    4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Registro de actividades del encargado

Si eres un encargado del tratamiento, deberás incluir la siguiente información:

  1. Tu nombre y datos de contacto, así como los de cada responsable por cuenta de quienes actúes y, en su caso, los de tu representante o representante del responsable y los del delegado de protección de datos;
  2. Las categorías de tratamientos que efectúas por cuenta de cada responsable;
  3. Las transferencias de datos personales a un tercer país u organización internacional, con mención del destinatario y, en el caso de que justifiques las transferencias en tus intereses legítimos imperiosos, la documentación de garantías adecuadas;

Igual que para el responsable, cuando sea posible también deberás incluir una descripción general de las medidas de seguridad.

Modelos de registro de actividades de tratamiento del RGPD

No existe un formulario tipo que sea de adopción obligatoria, sino que es tu decisión como responsable o encargado hacer el registro de una manera u otra.

Ahora bien, utilizar o basarte en un modelo reconocido es garantía de que al menos la estructura del registro será correcta, mientras que el contenido es algo que depende completamente de los tratamientos que desarrolles en tu organización, y la elección de un modelo u otro no te ayudará en eso.

A continuación encontrarás tres plantillas distintas, dos de la Agencia Española de Protección de Datos y una de la Information Comissioner’s Office (ICO), que es la autoridad de protección de datos anglosajona.

Ejemplos de registro de las actividades de tratamiento de la AEPD

El primer modelo es el propio registro de las actividades de tratamiento de la Agencia Española de Protección de Datos (AEPD), que fue puesto a disposición pública en su portal de transparencia recientemente. Puedes consultarlo pinchando aquí.

Aparte de su propio registro, la AEPD dio instrucciones sobre cómo elaborar un registro de las actividades de tratamiento en la “Guía práctica de análisis de riesgos para el tratamiento de datos personales”.

En la guía mencionada, la Agencia describe cómo realizar el registro, la información que debe incluir y ofrece un modelo en el anexo, tanto para responsables como encargados.

Plantilla de registro de actividades de la ICO

La ICO también explica en su sitio web las obligaciones de documentación que tienen los responsables y los encargados del tratamiento, ofreciendo además algunos modelos en excel disponibles para descarga.

Puedes encontrar ambos modelos aquí. La plantilla para responsables del tratamiento lleva el nombre de “Documentation template for controllers”; la de los encargados, “Documentation template for processors”.

En estos modelos, la información cuya inclusión es obligatoria aparece coloreada con fondo verde, mientras que la añadida por la ICO y cuya inclusión es voluntaria, de color azul.

Como decía, la elección de una plantilla u otra, (o ninguna) depende enteramente de ti, ya que no hay una única forma de hacerlo, así que eres libre de elegir la que mejor se adapta a tus necesidades o crear tu propia plantilla.