RGPD: claves para llevar correctamente el registro de actividades de tratamiento de datos
Describimos cómo una de las obligaciones que tienen las empresas con la llegada del RGPD y de la LOPDPGDD es mantener un registro de actividades de tratamiento de datos efectuados bajo su responsabilidad y explicamos cuáles son las claves para llevarlo correctamente y qué tipo empresas están exentas de dicha obligación.
El registro de actividades de tratamiento es un documento que debe contener toda la información respecto a los tratamientos de datos que realiza la organización. Debe estar actualizado incluyendo las medidas técnicas u organizativas que se han adoptado para mantener seguros dichos datos personales.
Además, en determinados casos, es obligada una evaluación de impacto relativa a la protección de datos. Se trata de supuestos en los que sea probable que el tratamiento comporte un riesgo significativo para los derechos y las libertades de las personas. Es una acción preventiva que debe realizarse antes del tratamiento de los datos personales.
Registro de actividades de tratamiento
Cada responsable de tratamiento de datos debe llevar un registro de las actividades realizadas bajo su responsabilidad. La información que debe contener es la siguiente:
- Nombre y datos de contacto del responsable, del corresponsable en caso de haberlo, de sus representantes y del delegado de protección de datos en su caso.
- Fines del tratamiento de los datos recogidos.
- Categorías de los interesados en el tratamiento y de los datos personales.
- Categorías de los destinatarios a los que se comunican dichos datos personales, incluyendo en su casos terceros países u organizaciones internacionales.
- Los plazos para la supresión de los datos de las diferentes categorías, siempre que sea posible.
- Las medidas de seguridad adoptadas para la protección de datos, siempre que sea posible.
Cada encargado de tratamiento también tiene que efectuar un registro para las categorías de actividades de tratamiento efectuadas. A tal efecto, tiene que constar:
- Nombre y datos de contacto del encargado, del responsable por cuenta del que actúa y del delegado de protección de datos, en su caso.
- Categorías de tratamientos efectuados.
- Transferencias de datos personales a terceros países.
- Las medidas de seguridad adoptadas para la protección de datos, siempre que sea posible.
En ambos casos, los registros tienen que constar por escrito en un documento, incluso cuando se realicen de forma electrónica. Dicho registro deberá facilitarse siempre que la autoridad de control lo facilite.
Excepciones a la llevanza del registro de actividades
Todo esto puede resultar un exceso de obligaciones para empresas pequeñas. Por ese motivo el artículo 30 del RGPD, el punto quinto indica que no se aplica la obligación de llevar un registro de actividades de tratamiento a empresas u organizaciones que tengan menos de 250 empleados. Esto deja fuera del mismo a las pymes y es la gran empresa la que se ve afectada por esta obligación.
Pero hay algunas pymes que sí están obligadas, puesto que tratan datos de categorías especiales, como las indicadas en el artículo 9 de dicho reglamento, referido a opiniones políticas, convicciones religiosas, afiliación sindical o datos genéticos, biométricos o relativos a la salud.
Por ejemplo, una pequeña consulta de dentista o una empresa que hace que sus empleados registren su jornada utilizando la huella digital tendrían que llevar dicho registro.
¿Es necesaria una evaluación de impacto?
En muchos casos, previamente incluso a la recogida de los datos, es necesaria una evaluación de impacto que debe efectuar el responsable del tratamiento.
- Es un documento en el que se describe el ciclo de vida de los datos, se analiza la necesidad y proporcionalidad del tratamiento, se identifican riesgos y amenazas, se evalúan los riesgos y se elabora un plan de acción y conclusiones.
- Es un proceso costoso, razón por la cual recientemente la AEPD ha publicado una lista de tratamientos que no necesitan de dicha evaluación de impacto.
Un ejemplo son:
Los tratamientos de datos que se realizan para cumplir con una obligación legal, los realizados en el ejercicio de su profesión por autónomos que ejercen de forma individual como médicos y abogados; los realizados para la gestión interna del personal de una pyme, los de comunidades de propietarios o de colegios profesionales y asociaciones sin ánimo de lucro…
Todas estas obligaciones, saber si estamos exentos o no de cumplir con determinados requisitos formales, hacen que las empresas estén muchas veces perdidas.
Lo recomendable es acudir a consultores externos que nos ayuden en la gestión de la protección de datos y realicen las adaptaciones necesarias para cumplir con todas las obligaciones que correspondan a nuestra organización.