Publicaciones

Manuel Alonso- Socios, Barcelona

El registro de tratamientos de datos personales

30/10/2017

Áreas de práctica: Tecnologías de la información y la comunicación

Autores: Manuel Alonso

Siguiendo nuestra actualización sobre las novedades del nuevo marco legal europeo de protección de datos personales, esta vez queremos abordar la obligación de realizar el registro de las actividades de tratamiento.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales (en adelante, el “RGPD”) establece la obligación de mantener un registro de las actividades de tratamiento de datos que se lleven a cabo por parte de responsables y encargados del tratamiento.

Este registro busca que los responsables y encargados del tratamiento realicen un tracking de los diferentes datos que se tratan en una organización, las finalidades de uso de estos datos, las comunicaciones que se puedan producir, cualquier transferencia internacional y además qué medidas técnicas y organizativas se aplican para preservar su seguridad.

 

¿Qué contenido deberá tener el registro de actividades de tratamiento?

Ya sea en formato físico o electrónico, el artículo 30 del RGPD establece que cada responsable y, en su caso, su representante debe llevar un registro de actividades de tratamiento efectuadas bajo su responsabilidad. El contenido del registro de actividades llevadas a cabo por el responsable del tratamiento será el siguiente:

1.    Nombre y datos de contacto del responsable y, en su caso, corresponsable, así como del Delegado de Protección de Datos si existiese.

2.    Finalidades del tratamiento.

3.    Descripción de categorías de interesados y categorías de datos personales tratados.

4.    Las categorías de destinatarios a quienes se comunicaron o se comunicarán los datos personales.

5.    Transferencias internacionales de datos.

6.    Cuando sea posible, plazos previstos para la supresión de los datos.

7.    Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

El registro que debe llevar el encargado del tratamiento debe contener la siguiente información:

1.    Nombre y datos de contacto del encargado o encargados, así como del Delegado de Protección de Datos si existiese.

2.    Las categorías de tratamientos efectuados por cuenta de cada responsable.

3.    Transferencias internacionales de datos.

4.    Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

¿Quiénes están obligados a realizar un registro de actividades de tratamiento?

No todos los responsables de tratamiento o encargados estarán obligados a realizar este registro.

En este sentido, el RGPD establece que no será necesario el registro de actividades de tratamiento para las empresas u organizaciones que empleen a menos de 250 trabajadores, siempre y cuando el tratamiento no implique las siguientes condiciones:

1.    Pueda entrañar un riesgo para los derechos y libertades de los interesados.

2.    No sea ocasional.

3.    Incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales

Dada la ambigüedad de la norma, queremos destacar que este registro de tratamientos deberá ponerse a disposición de la autoridad de control que lo solicite. Por este motivo, creemos necesario que en el momento en que un responsable decida que no está obligado a realizarlo por las excepciones anteriormente mencionadas, lo verifique con profesionales del sector para evitar incurrir en infracciones.

¿Se tendrá que continuar realizando la inscripción de ficheros?

Desde la Agencia Española de Protección de Datos se ha publicado un comunicado indicando que la obligatoriedad actual de inscribir los ficheros en la AEPD será sustituida a partir del 25 de mayo de 2018 por la de contar con un registro de actividades.

Así mismo, en las diferentes Guías sobre el RGPD publicadas por dicha Agencia, se ofrecen diferentes vías para poder organizar el registro de actividades de tratamiento, siendo una de ellas la de tomar como referencia los ficheros que actualmente los responsables han notificado en el Registro General de Protección de Datos.

 

Como último apunte, desde el departamento TIC de JAUSAS recomendaríamos que este registro de actividades de tratamiento se realice en cualquier caso al ser una herramienta útil dentro del seno de cualquier organización, a fin de detectar y realizar un seguimiento de los departamentos y procesos internos que implican un tratamiento de datos personales.