Registro de Actividades de Tratamiento: modelo descargable

Registro de actividades de tratamiento: modelo descargable

Contenido y esquema del Registro de Actividades de Tratamiento

Actualización: Hoy 14 de mayo, la Agencia Española de Protección de Datos, ha dejado de tener disponible entre sus procedimientos, el alta de los tratamientos de datos en su registro general. Por tanto, desde este día, ya no es posible inscribir ficheros en la AEPD.

Fin de la inscripción de ficheros ante la AEPD
Fin de la inscripción de ficheros ante la AEPD

Una de las novedades más significativas del RGPD es la finalización de la obligatoriedad de registrar ante la Agencia Española de Protección de Datos, los tratamientos de datos que las empresas y profesionales gestionan.

Si se me permite una nota personal, creo que es un error eliminar esta obligatoriedad, pues era la única garantía jurídica que el usuario tenia de que una empresa o profesional concreto, estaba cumpliendo (al menos en el aspecto formal), con la normativa en materia de privacidad.

Pero como el cumplimiento de la norma no admite muchas discusión, nos adecuaremos a lo que corresponda y hablaré hoy del requisito del Registro de Actividades de Tratamiento.

El RGPD determina en su artículo 30 que “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Es decir, que las empresas y profesionales deberán, eliminada la obligatoriedad de registro ante la AEPD, organizar su propio registro donde especifiquen que datos tratan y como lo hacen.

Igualmente, el artículo 30, detalla cual es la información que este registro debe contener:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

Esta obligación de registro de las actividades que se lleven a cabo con datos personales, incluye también a los encargados de tratamiento, que deberán especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Os dejo para esto un modelo de Registro de Actividades de Tratamiento de Datos que he creado para mis clientes, donde se detallan los aspectos a controlar, según indica la propia Agencia Española de Protección de Datos en la Guía de Análisis de Riesgos que publicó hace unas semanas y además incluyo, porque creo que dota de mayor valor a la herramienta, otros aspectos que sobre los tratamientos de datos incluye la Guía sobre Evaluaciones de Impacto de la propia AEPD.

El modelo no tiene porqué servir para todo tipo de empresas y profesionales, pero si que puede servir de guía para la creación del Registro de Actividades de Tratamiento. Espero que os resulte de utilidad.

Photo on Foter.com

19 Reacciones en “Registro de actividades de tratamiento: modelo descargable

  1. Emilio Reply

    Buenos Días,

    Me ha resultado muy útil su artículo para entender mejor el carácter de este registro y muy amable por su parte el modelo colgado.

    Muchas Gracias

    Emilio

  2. Rafael Gopar Reply

    Buenas noches,
    Muchísimas gracias por su artículo, de gran ayuda y por el modelo que ha dejado a nuestra disposición.

    Saludos Cordiales

    Rafael Gopar

  3. Carolina Reply

    Buenos días José Manuel:

    ¿Este registro es obligatorio para todas las empresas o sólo para las que superen los 250 empleados?
    Gracias.

    • Jose Manuel Sanz Post authorReply

      El registro de actividades de tratamiento es obligatorio en todas las entidades salvo que se de la excepciones prevista en el artículo 30.5 del RGPD:

      «5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.»

      Sea del tamaño que sea, ninguna empresa o entidad hace un uso ocasional de los datos, sino que hay una gestión continua, así que por tanto, la obligatoriedad es en todos los casos.

      Gracias por la consulta.

  4. Mª José Reply

    Pues me uno a los agradecimientos por la información de la página y por el modelo que nos sirve como orientación.

  5. Irene Reply

    Hola, buenas, ante todo muchísimas gracias por el post y por el descargable.
    Tengo una duda: he observado la gran cantidad de apartados que pones en el modelo, entre ellos los del Ciclo de vida de la Actividad del tratamiento, pero para comparar un ejemplo de como está hecho, entro en la AEPD y no veo este apartado. Mi pregunta es, esto es necesario? porque ellos no lo publican? este tipo de información es sensible? porque quizás pasar estos datos a un proveedor que nos lo exija como garantía de cumplimiento del reglamento pueda originar «vulnerabilidades» a la empresa.
    Después me surge la duda a la hora de llevar este registro de actividades cuando somos encargados, si tengo 300 empresas tengo que identificar a todas las empresas de las cuales soy encargado del tratamiento? o bastaria con poner por ejemplo «clientes de asesoría»

  6. Jose Manuel Sanz Post authorReply

    Buenos días Irene y ante todo, gracias por tu comentario. Paso a responderte las cuestiones que planteas.
    – El formulario que tienes a disposición, contiene no solamente lo que se requiere para completar el Registro de Actividades de Tratamiento, sino una parte añadida donde se incluye información sobre el ciclo de vida, que creo que es interesante para documentar el tratamiento. A fin de controlar mejor el análisis de riesgos, entiendo que es interesante contar con ese apartado. Si comparas con lo que incluye la AEPD cuando hace públicos sus tratamientos de datos en su web, no se incluye toda la información, precisamente porque como bien indicas, esa información es sensible.
    – De todas formas, los clientes pueden exigirnos garantías del cumplimiento normativo y por tanto, entiendo que esta documentación tiene que estar disponible. Obviamente, se tiene que estipular la confidencialidad de esta información en los contratos que con ellos se dispongan.
    – Por último, si tu tienes 300 empresas, de las cuales eres encargado de tratamiento, tendrás que indicar que tienes un tratamiento de datos de clientes, obviamente y crear los contratos de encargo de tratamiento con todas ellas. Las empresas serán las que, en su RAT, tendrán que indicar que tu eres su encargado de tratamiento.

    Quedo a tu disposición para cualquier otro comentario.
    Un saludo.

  7. Alvaro Reply

    Gracias por el modelo descargable, Jose Manuel.
    El problema es que está protegido y no puedo ni siquiera imprimirlo para poder aprovecharlo.
    ¿No hay manera de poder imprimirlo?

    • Jose Manuel Sanz Post authorReply

      Buenos días y gracias por tu comentario. El modelo es precisamente eso, un modelo, por eso no se puede usar directamente, sino que sirve de guía para crear el registro de tratamiento de datos de tu entidad, tras haber realizado el correspondiente análisis. Un saludo.

  8. Esther Reply

    Buenas tardes.
    Muchas gracias por el artículo y por el modelo que nos has dejado.
    Estoy realizando el registro de actividad y ha sido de gran ayuda encontrarme con tu artículo.
    Saludos

  9. Ana Reply

    Buenas tardes, José Mauel. Un artículo estupendo, pero me genera dudas para aplicarlo en una Comunidad de Vecinos, con instalación de camaras, en el interior del zaguán (vigilancia la puerta de entrada) y de una plataforma salvaescaleras que se encuentra en el interior del mismo.
    Quien y cómo deberia llevar este registro? El administrador, el instalador que a su vez es encargado del tratamiento? Qué pasos habríamos de seguir.
    Un saludo y muchas gracias.

    • Jose Manuel Sanz Post authorReply

      Buenas tardes.
      Lo habitual es que sea la comunidad la que cree el RAT que regule el tratamiento de datos de videovigilancia. El instalador de la cámara, como bien comentas, sería en encargado de tratamiento y como tal, habría que indicarlo en el RAT, además de disponer del preceptivo contrato de encargo de tratamiento.
      En resumen, el responsable de desarrollar el registro es la comunidad.

      Un saludo.

  10. Pilar Reply

    Estoy intentado elaborar un informe de auditoría muy básico. ¿Me podría alguien remitir a un modelo en concreto?

  11. Pingback: El control horario y la privacidad - José Manuel Sanz - Consultoria RGPD - ISO 9001:2015

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.