Registro de actividad del tratamiento

Registro de actividad del tratamiento

Una de las principales novedades del RGPD es la obligación de que los responsables y los encargados del tratamiento, crean y mantengan actualizado un registro de actividad de los tratamientos de datos que llevan a cabo. Así lo establece el art. 30 del RGPD:

Para los responsables del tratamiento esta obligación se encuentra en el párrafo primero: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”.

Para los encargados del tratamiento, debemos irnos al segundo párrafo: “Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable”.

El artículo sigue indicando el contenido mínimo del registro de actividades del tratamiento, indicando además que puede crearse y mantenerse en formato electrónico o manual.

¿Cómo organizar el registro de actividad del tratamiento?

La AEPD explica en su web aspectos básicos de esta obligación, indicando la información mínima que debe contener el registro de actividades del tratamiento:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • en su caso, las transferencias de datos personales a un tercer país, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

En el caso que el registro sea de un encargado, deberá añadirse a lo anterior, el nombre del responsable por cuenta del que esté efectuando ese tratamiento.

A nivel práctico un buen registro de actividades de tratamiento, debe ser la base del resto de obligaciones del RGPD, entre las cuales:

  • Una política de privacidad adecuada.
  • Un buen sistema de recogida, si es necesario, de consentimientos.
  • Un sistema correcto de eliminación de datos.
  • El análisis de riesgos, y en su caso, la evaluación de impacto.

Para eso resulta clave que el registro de actividades del tratamiento, defina bien la finalidad de cada tratamiento huyendo de registros genéricos como “clientes”, “trabajadores” o “proveedores”. Una buen registro de actividades del tratamiento, identifica claramente qué tipo de tratamientos se realiza en cada categoría o tipología de datos y, solo a partir de ese instante, se completa el registro; algunos de los registros de actividades del tratamiento habituales son:

  • Gestión de clientes.
  • Facturación y administración.
  • Atención al cliente.
  • Servicio post-venta.
  • Gestión de nóminas.
  • Selección de personal.
  • Formación de personal.
  • Control laboral.
  • Videovigilancia.
  • Etc.

Como se puede ver, a pesar que la categoría de interesados puede ser la misma en estos ejemplos registros de actividad del tratamiento (por ejemplo control laboral y formación del personal que afectan en ambos casos a trabajadores), aspectos como los siguientes pueden diferir en cada caso: base legitimadora, periodo de retención de los datos, finalidad, etc.

Esta labor es llevada a cabo, muy a menudo ya, por programas o herramientas de cumplimento normativo del RGPD, pero debemos recomendar que en todo caso, la empresa o su asesor, se asegure que los criterios marcados por la compañía titular del programa, se adecuan a la realidad del responsable o en el encargado del tratamiento.

Estas herramientas son de gran utilidad, pero como siempre, deben adaptarse a las necesidades del obligado a cumplir el RGPD y no al revés. Tener un buen registro de actividades del tratamiento es la base para un correcto cumplimiento del RGPD.

Si necesitas más información sobre este tema para tu empresa, ¡contáctanos!


    Acepto recibir boletín noticias

    Información sobre protección de datos

    Denominación social
    LEGAL IT GLOBAL 2017, SLP
    Finalidad
    Prestar el servicio.
    Envío del Boletín informativo.
    Legitimización
    Cumplimiento de la prestación del servicio.
    Consentimiento.
    Destinatarios
    Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Derechos
    Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.

    Más información
    Consulta la Política de Privacidad.

    La legalidad de tu empresa,
    en las mejores manos


    933 80 12 56