Registro de Actividades de Tratamiento: modelo descargable

Registro de actividades de tratamiento: modelo descargable

Contenido y esquema del Registro de Actividades de Tratamiento

Actualización: Hoy 14 de mayo, la Agencia Española de Protección de Datos, ha dejado de tener disponible entre sus procedimientos, el alta de los tratamientos de datos en su registro general. Por tanto, desde este día, ya no es posible inscribir ficheros en la AEPD.

Fin de la inscripción de ficheros ante la AEPD
Fin de la inscripción de ficheros ante la AEPD

Una de las novedades más significativas del RGPD es la finalización de la obligatoriedad de registrar ante la Agencia Española de Protección de Datos, los tratamientos de datos que las empresas y profesionales gestionan.

Si se me permite una nota personal, creo que es un error eliminar esta obligatoriedad, pues era la única garantía jurídica que el usuario tenia de que una empresa o profesional concreto, estaba cumpliendo (al menos en el aspecto formal), con la normativa en materia de privacidad.

Pero como el cumplimiento de la norma no admite muchas discusión, nos adecuaremos a lo que corresponda y hablaré hoy del requisito del Registro de Actividades de Tratamiento.

El RGPD determina en su artículo 30 que “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Es decir, que las empresas y profesionales deberán, eliminada la obligatoriedad de registro ante la AEPD, organizar su propio registro donde especifiquen que datos tratan y como lo hacen.

Igualmente, el artículo 30, detalla cual es la información que este registro debe contener:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

Esta obligación de registro de las actividades que se lleven a cabo con datos personales, incluye también a los encargados de tratamiento, que deberán especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Os dejo para esto un modelo de Registro de Actividades de Tratamiento de Datos que he creado para mis clientes, donde se detallan los aspectos a controlar, según indica la propia Agencia Española de Protección de Datos en la Guía de Análisis de Riesgos que publicó hace unas semanas y además incluyo, porque creo que dota de mayor valor a la herramienta, otros aspectos que sobre los tratamientos de datos incluye la Guía sobre Evaluaciones de Impacto de la propia AEPD.

El modelo no tiene porqué servir para todo tipo de empresas y profesionales, pero si que puede servir de guía para la creación del Registro de Actividades de Tratamiento. Espero que os resulte de utilidad.

Photo on Foter.com

6 Reacciones en “Registro de actividades de tratamiento: modelo descargable

  1. Emilio Reply

    Buenos Días,

    Me ha resultado muy útil su artículo para entender mejor el carácter de este registro y muy amable por su parte el modelo colgado.

    Muchas Gracias

    Emilio

  2. Rafael Gopar Reply

    Buenas noches,
    Muchísimas gracias por su artículo, de gran ayuda y por el modelo que ha dejado a nuestra disposición.

    Saludos Cordiales

    Rafael Gopar

  3. Carolina Reply

    Buenos días José Manuel:

    ¿Este registro es obligatorio para todas las empresas o sólo para las que superen los 250 empleados?
    Gracias.

    • Jose Manuel Sanz Post authorReply

      El registro de actividades de tratamiento es obligatorio en todas las entidades salvo que se de la excepciones prevista en el artículo 30.5 del RGPD:

      “5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.”

      Sea del tamaño que sea, ninguna empresa o entidad hace un uso ocasional de los datos, sino que hay una gestión continua, así que por tanto, la obligatoriedad es en todos los casos.

      Gracias por la consulta.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.