• Menu
  • Menu

¿Estoy obligado a llevar un registro de actividades de tratamiento de datos de mis clientes?

El registro de actividades de tratamiento de datos.

La entrada en vigor del RGPD en mayo de 2018, así como de la LOPDGDD en diciembre del mismo año, han supuesto una serie de novedades en el ámbito del tratamiento de datos personales con las que debemos ir familiarizándonos.

Como novedad relevante podemos destacar la desaparición de muchas de las obligaciones formales que establecía la normativa anterior. El nuevo sistema pretende cambiar la formalidad por la efectividad y la flexibilidad en la adopción de medidas para garantizar un tratamiento de datos seguro y respetuoso con los derechos de los interesados.

En este sentido, se ha suprimido la obligación de inscribir los ficheros de datos personales en la AEPD y la elaboración del documento de seguridad. En su lugar, los responsables y encargados de tratamiento deberán confeccionar un Registro de Actividades de Tratamiento que deberán mantener actualizado.

tratamiento.datos

¿Qué es el Registro de Actividades de Tratamiento?

El registro de actividades de tratamiento, como su propio nombre indica, no es un registro de ficheros. Independientemente del formato que se emplee, por regla general, será un documento o archivo en el que quede registrada toda la información relevante al tratamiento de datos que estamos llevando a cabo. El artículo 30 del RGPD se encarga de su regulación. Entre los beneficios que puede reportar esta obligación, se encuentran:

  1. Ayuda al análisis de los riesgos que conlleve el tratamiento de datos personales.
  2. Controla los diferentes tratamientos que estamos haciendo de los datos personales que se nos han confiado.
  3. Ayuda a acreditar frente a la AEPD el cumplimiento de la normativa en materia de protección de datos de carácter personal.

¿En qué se diferencia un tratamiento de un fichero?

No puede identificarse el tratamiento de datos con el fichero de datos, dado que son realidades muy diferentes. El artículo 4 del RGPD contiene las definiciones de ambos:

  • Tratamiento de datos: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (Art. 4.2 del RGPD).
  • Fichero de datos: “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica” (Art. 4.6 del RGPD).

Por tanto, el tratamiento de datos sería lo que hacemos con los ficheros de datos de los que disponemos, siempre tendente a una finalidad y bajo una base legitimadora concreta.

¿Quiénes están obligados a llevar un registro de actividades de tratamiento de datos?

La norma impone la obligación a los responsables y los encargados de tratamiento de datos personales, de forma indistinta. Ahora bien, según se lleve el registro en calidad de responsable o de encargado, tendrá unas exigencias concretas en cuanto a exhaustividad se refiere.

Tanto los responsables del tratamiento de datos como las personas que traten los datos por su cuenta, en su caso, estarán obligados. La pregunta es ¿todos los responsables y encargados deben elaborar un registro? ¿Hay excepciones?

Pues no todos, la normativa prevé una excepción a la regla general, estableciendo una serie de requisitos que han de darse conjuntamente para poder apreciarla:

  1. Que la empresa u organización emplee a menos de 250 personas.
  2. Que el tratamiento no entrañe riesgo alguno para los interesados.
  3. Que el tratamiento tenga carácter ocasional.
  4. Que no se incluyan categorías especiales de datos ni datos relativos a condenas e infracciones penales.

Si todos estos requisitos se dan de forma conjunta, podremos afirmar que el responsable estará eximido de llevar un registro de actividades de tratamiento. Ello nos lleva a afirmar que la práctica totalidad de los profesionales liberales deberán llevar un registro de las actividades de tratamiento de datos de sus clientes que lleven a cabo.

¿Qué obligaciones hay con relación al registro de actividades de tratamiento?

Aquellos que deban elaborar el registro de actividades de tratamiento, están también obligados a:

  1. Hacer constar la información mínima exigida: el artículo 30 del RGPD dispone la información básica que debe detallarse en el registro.
  2. Actualizar el registro de actividades de tratamiento: se recomienda que se revise periódicamente el registro, de cara a actualizar el mismo si se hubiesen producido modificaciones la situación reflejada en los mismos.
  3. Mantener el registro de actividades de tratamiento permanentemente a disposición de la AEPD: a diferencia de los ficheros, no se exige la inscripción del registro en la AEPD. Sin embargo, se exige que el mismo esté permanentemente a disposición de ésta en caso de que lo solicite.

El registro de actividades de tratamiento del responsable.

El responsable es quien determina los fines y medios de tratamiento. En definitiva, el que decide sobre el mismo. Por ello, el Reglamento establece mayores exigencias en cuanto a la información a recoger en el registro que éste lleve a cabo.

Información del registro de actividades de tratamiento del responsable:

  1. Nombre y datos de contacto de responsable, corresponsable/s, representante y delegado de protección de datos, en su caso.
  2. Fines del tratamiento.
  3. Categorías de interesados.
  4. Categorías de datos.
  5. Categorías de destinatarios.
  6. Transferencias internacionales de datos.
  7. Cesiones de datos.
  8. Medidas técnicas y organizativas de seguridad.

Esta sería la información básica que debe contener. No obstante, puede ampliarse y ser más exhaustivo el responsable a la hora de elaborarlo, lo cual puede ayudar si la AEPD decide solicitarlo.

El registro de actividades de tratamiento del encargado.

El encargado de tratamiento opera con los datos por cuenta del responsable y para los fines encomendados. Resulta relevante tener en cuenta que la misma persona puede actuar como encargado del tratamiento que realice por cuenta del responsable y como responsable de su propio tratamiento de datos. En tal caso, deberá llevar a cabo dos registros.

Información del registro de actividades de tratamiento del encargado:

  1. Nombre y datos de contacto del encargado, representante, delegado de protección de datos y de cada responsable por cuenta del cual actúe.
  2. Categorías de tratamientos realizados.
  3. Transferencias internacionales de datos.
  4. Medidas técnicas y organizativas de seguridad.

Al igual que se ha indicado en el apartado relativo al responsable, también aquí se trata de la información mínima a contener, pudiendo ampliarse.

Las infracciones en el registro de actividades de tratamiento.

Las infracciones relativas al registro de actividades de tratamiento se encuentran reguladas en la LOPDGDD. El incumplimiento de las obligaciones impuestas en relación al registro constituirá, obviamente, una infracción por parte del obligado a su llevanza.

Podemos distinguir tres infracciones en este sentido:

  1. No tener un registro de actividades de tratamiento: se trata de una infracción grave, según regula el art. 73 de la LOPDGDD.
  2. No poner el registro de actividades de tratamiento a disposición de la AEPD: se considera también una infracción grave, según establece el mismo artículo.
  3. No incluir toda la información mínima exigida: la falta de toda la información exigida será constitutivo de infracción leve.

Tanto unas como otras, llevarán aparejada la correspondiente sanción por parte de la Autoridad de Control, que será graduable según la entidad del incumplimiento por parte del responsable o encargado.

Si te ha gustado este artículo, nos encantaría que lo comentases o lo compartieras. Si te has quedado con alguna duda, puedes hacérnosla llegar al formulario de contacto, intentaremos darle solución de la forma más ágil.

Etiquetas:
Categorías:

¿Alguna duda? Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *