Registro de actividades de tratamiento: ¿qué es y quién es el encargado?

Escrito por Lara Rebon Gelpi

El registro de actividades de tratamiento del Reglamento General de Política de Datos (RGPD) es una acción obligatoria para toda empresa, entidad pública o autónomo que maneje datos personales, por la cual deben documentar el tratamiento de esos datos. El registro es un documento que recoge cuáles son los datos tratados, el amparo legal y legitimidad para dicho tratamiento y su finalidad o la identidad de la institución, entidad o personas responsables del tratamiento.

El registro de actividades de tratamiento recoge también flujos de datos personales y debe estar a disposición de la autoridad competente en materia de protección de datos, la AEPD en España. Sin embargo, no es obligatorio en todos los casos contar con este documento.

¿Quién es el encargado de realizar el registro de actividades de tratamiento?

El registro de actividades lo llevan a cabo el responsable y el encargado del tratamiento, tal y como establece el artículo 30.1 y 30.2 del RGPD. Este documento no se necesita inscribirlo en ningún registro. Sin embargo, debe ser actualizado y conservado por un profesional.

Quedan exentos de realizar el registro de actividades del tratamiento las empresas de menos de 250 personas a menos que: 

  • El tratamiento pueda entrañar un riesgo para los derechos y libertades.

  • No sea ocasional

  • Incluya categorías especiales de datos o relativos a condenas e infracciones penales.

Tal y como indica el artículo 9 del RGPD, el registro debe ser llevado a cabo si los datos personales tratados son:

Por tanto, el 99.99% de los responsables y encargados del tratamiento deben tenerlo.

¿Qué información debe contener el registro de actividades de tratamiento?

El RGPD distingue entre la información que debe incluir el registro de actividades de tratamiento del responsable y el del encargado del tratamiento, pero esencialmente el contenido es muy similar. La información debe ser, en cualquier caso, lo más detallada y clara posible para comprender cómo es el tratamiento que se realiza desde dicha entidad.

El registro de actividades que realice el responsable del tratamiento debe incluir los siguientes datos:

  • Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos

  • Finalidad del tratamiento

  • Descripción de categorías de interesados y datos

  • Categorías de destinatarios existentes o previstos, incluso si son de terceros países o entidades internacionales

  • Transferencias internacionales de datos y documentación que acredite las garantías de dichas transferencias

  • Plazo previsto para eliminar esos datos

  • Descripción general de las medidas de seguridad con las que se tratarán los datos

En lo tocante a las medidas de seguridad, es importante no poner en riesgo las propias medidas con descripciones o información demasiado precisa. Es conveniente consultar con la persona responsable de seguridad de la información para recibir indicaciones sobre qué poner en ese apartado. En caso de ser excesivamente explicativos sobre las medidas de seguridad, es posible recibir ataques al cifrado de datos personales, la confidencialidad e integridad de los sistemas o que se bloquee el acceso y la restauración de datos personales.

El registro de actividades que debe realizar el encargado contendrá solo la siguiente información:

  • Identificación y datos de contacto del encargado, de cada responsable que actúe en el proceso,del responsable y del delegado de protección de datos

  • Transferencias internacionales de datos y documentación que acredite las garantías de dichas transferencias

  • Las categorías de los tratamientos efectuados por el responsable

  • Una descripción general de medidas de seguridad

Forma del registro de actividades de tratamiento

No existe un modelo estándar o prototipo de registro de actividades de tratamiento en el RGPD. Recaerá en el responsable o encargado del tratamiento la forma que tendrá el documento. Una forma habitual es organizar el registro en acciones concretas, como “gestión de usuarios” o “gestión de clientes”. El registro debe constar por escrito, incluido en formato electrónico, y debe mantenerse actualizado en una copia impresa archivada.

Aunque no existen modelos oficiales para redactar registros de actividades de tratamiento, la AEPD y otras autoridades han elaborado tipos estándar de documento. Estos pueden servir de plantilla o guía para realizar uno adaptado. A mayores de la autoridad competente española, su homóloga francesa y la Information Commissioner 's Office también ofrecen sus modelos.

Marco legal del registro de actividades de tratamiento

Con la entrada en vigor del Reglamento Europeo de Protección de Datos, el registro de actividades de tratamiento en el RGPD reemplazó a la anterior obligación de inscribir los ficheros en el Registro General de Protección de Datos. Este trámite en España se hacía ante la AEPD. Este paso era uno de los trámites burocráticos de la Ley Orgánica de Política de Datos, ya derogada.

El RGPD introdujo como novedad el principio de responsabilidad proactiva, es decir, que el responsable del tratamiento no solo cumpla con la normativa vigente, sino que debe ser capaz de demostrarlo. Esto se apunta en la redacción del artículo 82 del reglamento:

  • “Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”

¿Qué ocurre si no tengo el registro de actividades de tratamiento?

Si una entidad está obligada a tener un registro de actividades de tratamiento y no dispone de él, se está incurriendo en una infracción de tipo grave al infringir la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y el RGPD. Esto puede suponer una sanción de entre 40.000 y 300.000 euros, según los afectados y la duración en el tiempo de la infracción.


Contar con un registro de actividades de tratamiento es uno de esos procedimientos que en ocasiones se pasa por alto desde empresas, entidades o instituciones. Lo mismo ocurre con los textos legales de un sitio web, los cuales deben mantenerse actualizados. ¿Dudas sobre el estado en que se encuentran los tuyos? En Pdatos trabajamos y elaboramos textos legales de manera gratuita para tu web. Podemos evaluar tu actual tratamiento de datos, redactamos los textos y te los hacemos llegar por e-mail. ¡Solicítalos ya!


En Pdatos somos expertos en protección de datos y contamos con especialistas con dilatada experiencia de más de 13 años en el sector que te ayudarán a realizar el registro de actividades de tratamiento, entre otras acciones obligaciones legales. Asegúrate de cumplir con la normativa vigente y de no incumplir alguno de estos puntos, o podrás afrontar sanciones de elevada cuantía impuestas por la Agencia Española de Protección de Datos.


Lara Rebon Gelpi
Anterior

Multan a un hotel de Ibiza con 10.000€ por excederse en el uso de videocámaras
Siguiente

Un bufete de abogados deberá abonar 5.000 euros de multa por incumplir la Ley de Protección de Datos al enviar publicidad