Inicio
Ejercicio profesional de la abogacía
Marginales
¿Qué deben saber los abogados sobre el registro de actividades de tratamiento de datos?
Inicio
Ejercicio profesional de la abogacía
Marginales
¿Qué deben saber los abog... de datos?
Ver Indice
»

Última revisión
12/09/2023

abogacia

460 - ¿Qué deben saber los abogados sobre el registro de actividades de tratamiento de datos?

Tiempo de lectura: 4 min

Tiempo de lectura: 4 min

Relacionados:

Vademecum: Abogacía

Fecha última revisión: 11/09/2023

Resumen:

Los abogados deben conocer los requerimientos del registro de actividades de tratamiento para cumplir con el principio de responsabilidad proactiva, demostrar la conformidad con el Reglamento General de Protección de Datos (RGPD) y con la Ley Orgánica 3/2018 (LOPDGDD). El registro debe documentar y estructurar los conjuntos de datos, las actividades de tratamiento, las categorías de interesados, destinatarios, transferencias a terceros países, plazos de supresión de datos, medidas de seguridad, entre otros. Esto para garantizar la seguridad y la confidencialidad. El responsable o su representante debe ponerlo a disposición de la autoridad de control.

La existencia del registro de actividades de tratamiento confluye o se une al principio de responsabilidad proactiva, la intención de cumplimiento de las normas en protección de datos por parte del responsable. 

Contempla el considerando (82) del RGPD

«Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento».

El artículo 30 del RGPD indica que cada responsable, y su representante si fuere el caso, debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener:

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
  • Los fines del tratamiento.
  • Una descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Cuando sea el caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación de garantías adecuadas.
  • Si es posible, los plazos previstos para la supresión de las diferentes categorías de datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 32, apartado 1, del RGPD, y deben incluir, entre otros:
    • Seudonimización y cifrado de datos personales.
    • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • Indica también el artículo 31 de la LOPDGDD que el registro puede organizarse en torno a conjuntos estructurados de datos especificando sus finalidades, las actividades de tratamiento llevadas a cabo y alguna de las circunstancias citadas en las líneas anteriores.

Estos registros deben constar por escrito y formato electrónico, y el responsable o su representante debe ponerlos a disposición de la autoridad de control que lo solicite (art. 30, apartados 3 y 4, del RGPD).

CUESTIONES

1. ¿Es siempre obligatorio llevar el mantenimiento de un registro de actividades de tratamiento?

No. El artículo 30, apartado 5, del RGPD indica que la llevanza de un registro solo es aplicable a las empresas que tengan empleadas más de 250 personas salvo que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertados de los interesados, o incluya datos de carácter especial que refieren en el artículo 9 del RGPD (que revelen origen étnico, racial, datos biométricos, convicciones filosóficas, afiliación sindical, tratamiento de datos genéticos, relativo a la salud, vida u orientación sexual...) y 10 del RPGD.

No obstante, este artículo no adopta una postura excluyente, por lo que, el registro puede llevarse a cabo fuera de esos supuestos y en todo caso será muestra de una conducta proactiva y tendente al cumplimiento de la protección de datos de carácter personal por parte de la entidad que lleve el tratamiento.

2. Tengo un despacho de abogados, ¿debo tener un registro de actividades de tratamiento?

Pues, como se ha resuelto en la pregunta anterior, el registro se llevará según el tipo de datos que se traten en el despacho. Atendiendo a este requisito, se procederá a elaborar un registro de actividades y a comunicarlo a la AEPD (autoridad de control competente).