QUÉ ES EL REGISTRO DE ACTIVIDADES

La aplicación del nuevo Reglamento General de Protección de Datos desde mayo del 2018 implica para el responsable del tratamiento de los datos obligaciones distintas en materia de protección de datos. En su artículo 30 se estipula que cada responsable debe llevar un registro de actividades de tratamiento efectuadas bajo su responsabilidad.

El registro de actividades de tratamiento es un documento que puede ser redactado en papel o en formato digital que debe describir qué datos se recogen, con qué finalidad son tratados, a quién son comunicados, si existe transferencia internacional de datos, qué medidas técnicas y organizativas se aplican para preservar su seguridad… etc.

En resumen, es un cuaderno de bitácora que debe explicar cualquier aspecto que el interesado necesite conocer para poder mantener el control sobre sus datos y su privacidad.

DE LA INSCRIPCIÓN DE FICHEROS AL REGISTRO DE ACTIVIDADES

El reciente cambio de normativa supuso que desaparecieran ciertas obligaciones y la necesidad de asumir nuevas responsabilidades. El registro de actividades de tratamiento surgió como relevo de la, hasta entonces, necesaria inscripción de ficheros ante el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD).

Una de las principales funciones del Registro General de la AEPD consistía en dar a conocer al ciudadano, de la forma más exacta posible, qué se estaba realizando con sus datos de carácter personal cuando eran aportados a una administración pública o una entidad privada y dónde podían ejercer sus derechos.

Ya con la antigua normativa existía la obligación de notificar las modificaciones en los ficheros por ejemplo por cambio de finalidad, por cese de actividad… etc.

La creación el registro de actividades para aquellas organizaciones que ya disponían de ficheros inscritos fue un paso relativamente más sencillo, pues ya existían una base para comenzar a construir el registro simplemente completando alguna información adicional.

Hoy en día el registro de actividades es una herramienta de gran ayuda para las organizaciones pues permite demostrar que los datos se están tratando conforme a los requisitos de esta nueva normativa, un regulación que sin duda es bastante más exigente que su predecesora.

CÓMO CREAR EL REGISTRO DE ACTIVIDADES

La primera tarea para comenzar a construir el registro de actividades debe ser la selección de aquellos tratamientos que son necesarios para cumplir con la finalidad que persigue la organización. Para ello es recomendable elaborar un listado que incluya el tipo de datos que se van a necesitar tratar.

Disponer de este listado facilitará mucho las cosas para la siguiente fase donde se deben revisar los siguientes aspectos:

• que los datos que se recogen son los necesarios para las finalidades que se persiguen, sin ser excesivos.
• que se cumple algunas de las condiciones enumeradas en el artículo 6 del RGPD para que el tratamiento de datos sea lícito.

No olvidemos que no podemos cometer el error de anotar en el registro un tratamiento de datos que no cumpla con los principios básicos recogidos en el art. 5 del RGPD, estaríamos reconociendo el incumplimiento de una ley. Por supuesto, tampoco es viable realizar este tipo de tratamientos evitando anotarlos en el registro.

Estas dos tareas son las más costosas, una vez realizadas simplemente se deben añadir todas las indicaciones que se recogen en el artículo 30 del RGPD y que detallamos en el siguiente apartado.

QUÉ DEBE CONTENER EL REGISTRO DE ACTIVIDADES

El RGPD, en su artículo 5, detalla exactamente qué debe contener el registro de actividades:

• El nombre y los datos de contacto del responsable y en su caso del corresponsable y delegado de protección de datos.
• Los fines del tratamiento.
• Una descripción de las categorías de interesados y de las categorías de datos personales.
• Las categorías de destinatarios a quienes se comunicarán los datos.
• En su caso, si existe una transferencia internacional de datos.
• Los plazos previstos para la supresión de datos.
• Una descripción de las medidas técnicas y organizativas de seguridad.

En cualquier caso, y en ejecución del principio de responsabilidad proactiva, corresponde a cada organización decidir qué se debe incluir en su registro de actividades de tratamiento y cómo realizar la gestión del mismo.

QUIÉN TIENE OBLIGACIÓN DE LLEVAR EL REGISTRO DE ACTIVIDADES

El último punto del artículo 30, el RGPD recoge quienes NO están obligados a llevar un registro de actividades:

• Aquellas empresas y organizaciones que empleen a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y las libertades de los interesados, no sea ocasional o incluya categorías especiales de datos.

Como vemos no queda especificado el nivel del riesgo, dice de forma explícita “que pueda entrañar un riesgo”, por tanto con la ley en la mano es bastante complicado encontrarnos una situación en la que al tratar datos de carácter personal no se asuma riesgo alguno.

PARA QUÉ SIRVE UN REGISTRO DE ACTIVIDADES

Cumplir con el nuevo requisito de “protección de datos desde el diseño” no es una tarea sencilla, además esta labor se recrudece porque ya no es suficiente con proteger los datos, tienes que poder demostrar que efectivamente lo estás haciendo.

En este mundo conectado en el que vivimos, donde la tecnología sigue avanzando exponencialmente la protección de datos en medios digitales se ha convertido en todo un reto. Un registro de actividades real y actualizado puede ayudarte ante una reclamación, para poder demostrar que efectivamente se han realizado y registrado las tareas necesarias para la protección de datos ante el reclamante y ante la AEPD.

Todas las organizaciones están expuestas a sufrir una violación de seguridad, un registro de actividades donde queden reflejadas puede ayudarte a mejorar las medidas de seguridad para que no vuelva a ocurrir un incidente similar, además es un instrumento perfecto de transparencia ante la AEPD.

EJEMPLO DE REGISTRO DE ACTIVIDADES AEPD

Nuestra normativa española obliga a ciertas entidades a hacer público su registro de actividades de tratamiento, accesible por medios electrónicos, de modo que puedes encontrar muchos registros publicados que te pueden servir de ayuda y orientación. La AEPD tiene como función la supervisión de la aplicación tanto de la Ley Orgánica de Protección de Datos como del RGPD de modo que es de esperar que su propio registro de actividades sea un ejemplo perfecto.

Click AQUÍ para consultar el registro de actividades de la AEPD.

QUE PUEDE OCURRIR SI NO TENGO UN REGISTRO DE ACTIVIDADES

No cumplir con la obligación de disponer de un registro de actividades de tratamiento supone una infracción grave recogida en el art. 73 de la Ley Orgánica 3/208 de Protección de Datos Personales y garantía de los derechos digitales, pudiendo ser sancionada con multas de hasta 10 millones de euros o de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior.