Registro de actividades de tratamiento datos en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 19/06/2018

Una de las novedades que presenta el nuevo RGPD es la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación de comunicar a las autoridades de control la existencia de tratamiento de datos personales.

El contenido del considerando 89, señala:

«La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial»

Como hemos anticipado, el registro de actividades de tratamiento sustituye a la obligación de inscribir ficheros, de forma que actualmente el RGPD viene a exigir que se registren las actividades de tratamiento. Pero además, debemos señalar que resultará imprescindible que este registro de actividades sea actualizado constantemente, por cuanto que –conforme señala el artículo 30 del Reglamento- “El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite”.

Pues bien, atendiendo a lo dispuesto en el citado precepto, el registro de actividades de tratamiento deberá contener toda la información indicada a continuación:

  • a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • b) los fines del tratamiento;
  • c) una descripción de las categorías de interesados y de las categorías de datos personales;
  • d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  • f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

De forma similar, el encargado del tratamiento ( o su representante) deberán de llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

  • a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
  • b) las categorías de tratamientos efectuados por cuenta de cada responsable;
  • c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  • d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

La forma en que se estructurará el registro será decidida por el responsable o encargado, ya que el Reglamento no impone una estructura especifica. Ahora bien, la AEPD ha señalado que la organización del registro de actividades de tratamiento puede estructurarse:

Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.

En torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.

Ahora bien, sin perjuicio de que este registro constituye una de las novedades más llamativas del RGPD y de que -incuestionablemente- supone una suerte de mecanismo de” rendición de cuentas” , resulta necesario señalar que el propio Reglamento recoge expresamente una excepción a esta novedosa obligación. Así, estarán las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

No hay versiones para este comentario

Registro de las actividades de tratamiento
Autoridad de control de datos
Datos personales
Tratamiento de datos personales
Actividades de tratamiento de datos
Protección de datos
Encargado del tratamiento
Categorías de datos personales
Delegado de protección
Persona física
Responsable del tratamiento
Transferencia de datos personales
Evaluación de impacto en protección de datos
Recibo de salarios
Categorías especiales de datos
Datos personales relativos a condenas e infracciones penales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Evaluación de impacto relativa a la protección de datos (EIPD)

    Fecha última revisión: 18/06/2018

    A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados