Registro de actividades de tratamiento datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019

Una de las novedades que presentaba el RGPD era la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación de comunicar a las autoridades de control la existencia de "ficheros" de tratamiento de datos personales.

El contenido del considerando 89, señala: «La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial»

Como hemos anticipado, el registro de actividades de tratamiento sustituye a la obligación de inscribir ficheros, de forma que actualmente el RGPD viene a exigir que lleve un registro de las actividades de tratamiento. Pero además, debemos señalar que resultará imprescindible que este registro de actividades sea actualizado constantemente, por cuanto que, conforme señala el artículo 30 del Reglamento, "El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición de la autoridad de control que lo solicite".

Pues bien, atendiendo a lo dispuesto en el citado precepto del Reglamento, el registro de actividades de tratamiento deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

De forma similar, el encargado del tratamiento (o su representante) deberán de llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable, que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

La forma en que se estructurará el registro será decidida por el responsable o encargado, ya que el Reglamento no impone una estructura especifica, aunque sñi deberán constar por escrito (inclusive en formato electrónico). Ahora bien, la AEPD ha señalado que la organización del registro de actividades de tratamiento puede estructurarse del siguiente modo:

- se puede partir de los ficheros que actualmente tuviesen notificados en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos, para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar, o bien

- unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica e idéntico colectivo de afectados (por ejemplo, gestión de clientes, gestión contable, o gestión de recursos humanos y nóminas).

Ahora bien, sin perjuicio de que este registro constituye una de las novedades más llamativas del RGPD y de que -incuestionablemente- supone una suerte de mecanismo de "rendición de cuentas", resulta necesario señalar que el propio Reglamento recoge expresamente una excepción a esta novedosa obligación. Así, estarán exentas de realizar este registro las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

 

Por su parte en el artículo 31 de la LOPDGDD, se remite al contenido del artículo del Reglamento Europeo, aunque indica que el Registro "podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro."

Además se añade la obligación de que las entidades incluídas en el artículo 77.1 de esta LO (los órganos constitucionales, los órganos jurisdiccionales, la Administración General del Estado y de las CCAA y entidades locales, los organismos públicos, Banco de España, autoridades administrativas independientes, corporaciones de derecho público, fundaciones del sector público, Universidades Públicas, Consorcios y Grupos Parlamentarios...), deban hacer público un inventario de sus tratamiento en el que constará toda la información establecida en el art. 30 del RGPD. Este inventario deberá ser accesible por medios electrónicos.

En cuanto a las infracciones, el no disponer del registro de actividades o no ponerlo a disposición de la autoridad de protección de datos que lo solicite, se considerará como una infracción grave (artículo 73 LOPDGDD), y en caso de que dicho Registro no incorpore toda la información exigida por el RGPD, se considerará leve.

No hay versiones para este comentario

Registro de las actividades de tratamiento
Datos personales
Autoridad de control de datos
Tratamiento de datos personales
Actividades de tratamiento de datos
Encargado del tratamiento
Protección de datos
Delegado de protección
Categorías de datos personales
Transferencia de datos personales
Responsable del tratamiento
Evaluación de impacto en protección de datos
Persona física
Recibo de salarios
Categorías especiales de datos
Inventarios
Datos personales relativos a condenas e infracciones penales
Fundación del sector público
Banco de España
Corporaciones de derecho público
Administración local
Organismos públicos
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Transferencias internacionales de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liec...

  • Supuestos de obligación de nombramiento del Delegado de Protección de Datos (DPD)

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.El artículo 37 apartado 1...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados