El Registro de Actividades del Tratamiento del RGDP, sustituto de la Inscripción de Ficheros de la LOPD.
Una de las novedades del RGPD es el Registro de Actividades del Tratamiento.
A día de hoy, todas las empresas que para desarrollar su actividad traten datos de carácter personal, están obligadas a inscribir ficheros ante el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (en adelante AEPD). La inscripción consiste en un registro público a través del cual podemos conocer qué tipo de datos trata una empresa, si existen cesiones de datos, transferencias internacionales y dónde ejercitar nuestros derechos ARCO, entre otros aspectos.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales (en adelante, “RGPD”) cambia el punto de partida. A partir del 25 de mayo de 2018, ya no será obligatorio inscribir ficheros ante el Registro General de la AEPD, en su lugar las empresas tendrán que llevar a cabo un Registro de Actividades de Tratamiento.
1. ¿En qué consiste el Registro de Actividades de Tratamiento del RGPD?
El artículo 30 RGPD dispone que cada Responsable y, en su caso, su representante, llevarán un Registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Se trata, en definitiva, de una lista en la que el Responsable deberá identificar los siguientes extremos:
- Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos, en el caso de que tuviera uno designado.
- Finalidades del tratamiento.
- Descripción de categorías de interesados y categorías de datos personales tratados.
- Transferencias internacionales de datos.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
- Igualmente, cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
2. ¿Y si mi Empresa es encargada del Tratamiento de Datos?
El RGPD prevé que el Registro lo lleven a cabo tanto Responsables como Encargados del Tratamiento. No obstante, la diferencia fundamental estriba en que los Responsables realizarán el Registro de los tratamientos efectuados a su cargo, mientras que los Encargados elaborarán el Registro de los tratamientos efectuados por cuenta del Responsable.
3. ¿Todas las empresas tienen que hacer el Registro de Actividades de Tratamiento del RGPD?
El Registro de Actividades de Tratamiento del nuevo RGPD se debe hacer de manera obligatoria por todas las organizaciones que cumplan alguno de los siguientes requisitos:
- Que sea una empresa u organización que emplee a más de 250 trabajadores.
- Si el tratamiento puede entrañar un riesgo para los derechos y libertades de los interesados.
- Que no sea ocasional
- En el caso de incluir categorías especiales de datos (datos de salud, religión, creencias…)
- Y si incluye datos relativos a condenas o infracciones penales.
Aunque a primera vista pudiera parecer que se trata de una lista muy taxativa, si nos centramos en leer detenidamente todos los supuestos, podemos llegar a la conclusión de que prácticamente la mayoría de empresas con un tratamiento de datos habitual tendrán que llevar a cabo este registro.
Además, el contar con este Registro nos sirve para demostrar que estamos cumpliendo con el Principio de Responsabilidad Proactiva o “Accountability” y de Enfoque al Riesgo. De este modo, si la organización cuenta con un Registro de Actividades completo, se encontrará en posición de acreditar tanto la identificación de los tratamientos que realiza y riesgos inherentes a los mismos, como la documentación y posterior adopción de unas medidas de seguridad acordes a esos riesgos.
4. ¿El Registro de Actividades de Tratamiento del RGPD se debe publicar en algún lugar?
A diferencia de la obligación actual de inscribir los ficheros ante el Registro General de la AEPD, el Registro de Actividades de Tratamiento no debe publicarse en ningún registro o site oficial. Está configurado como un documento que debe guardarse de manera interna por la organización y que siempre debe mantenerse correctamente actualizado.
El Registro deberá conservarse por escrito, aunque también se permite el formato electrónico.
En cualquier caso, se deberá mantener a disposición de la Autoridad de Control, cuando ésta lo solicite.
5. ¿Qué pasa si mi empresa no lleva este Registro?
El RGPD ha previsto que la no realización del Registro de Actividades de Tratamiento por los sujetos obligados, será sancionada con multas administrativas de 10.000.000 EUR. O bien, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
En definitiva, el Registro de Actividades del Tratamiento del nuevo RGPD se configura como una medida más en aras de garantizar que la empresa está cumpliendo con el RGPD. Desde GRUPO ADAPTALIA, como Asesoría Jurídica en Protección de Datos, estamos a su disposición para ayudarle a realizar un Registro de Actividades completo y conforme a las exigencias del RGPD. Obtenga más información detallada de nuestros servicios en Consultoría Protección de Datos y consúltenos sin compromiso, contacte.
Tamara Vizcaino
Departamento Legal