¿Qué elementos deben tene...atamiento?
Ver Indice
»

Última revisión
31/05/2024

datos

990 - ¿Qué elementos deben tener en cuenta los abogados de cara al registro de las actividades de tratamiento?

Tiempo de lectura: 4 min

Tiempo de lectura: 4 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 31/05/2024

Resumen:

El RGPD contempla la obligación de mantener un registro de actividades de tratamiento bajo la responsabilidad de los respectivos encargados. Para ello, el artículo 30 del RGPD indica que el responsable debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Estos deben incluir el nombre y datos de contacto del responsable, fines del tratamiento, categorías de interesados, transferencias de datos a terceros países, plazos previstos para la supresión de datos, entre otras cosas. Por otro lado, el artículo 31 de la LOPDGDD también indica los requisitos para los registros.


La existencia del registro de actividades de tratamiento confluye o se une al principio de responsabilidad proactiva, la intención de cumplimiento de las normas en protección de datos por parte del responsable. 

Contempla el considerando (82) del RGPD

«Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento».

El artículo 30 del RGPD indica que cada responsable, y su representante si fuere el caso, debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener:

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
  • Los fines del tratamiento.
  • Una descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Cuando sea el caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación de garantías adecuadas.
  • Si es posible, los plazos previstos para la supresión de las diferentes categorías de datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 32, apartado 1, del RGPD, y deben incluir, entre otros:

    • Seudonimización y cifrado de datos personales.
    • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • Indica también el artículo 31 de la LOPDGDD que el registro puede organizarse en torno a conjuntos estructurados de datos especificando sus finalidades, las actividades de tratamiento llevadas a cabo y alguna de las circunstancias citadas en las líneas anteriores.

Estos registros deben constar por escrito y formato electrónico, y el responsable o su representante debe ponerlos a disposición de la autoridad de control que lo solicite (art. 30, apartados 3 y 4, del RGPD).

CUESTIONES

1. ¿Es siempre obligatorio llevar el mantenimiento de un registro de actividades de tratamiento?

No. El artículo 30, apartado 5, del RGPD indica que la llevanza de un registro solo es aplicable a las empresas que tengan empleadas más de 250 personas salvo que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertados de los interesados, o incluya datos de carácter especial que refieren en el artículo 9 del RGPD (que revelen origen étnico, racial, datos biométricos, convicciones filosóficas, afiliación sindical, tratamiento de datos genéticos, relativo a la salud, vida u orientación sexual...) y 10 del RPGD.

No obstante, este artículo no adopta una postura excluyente, por lo que, el registro puede llevarse a cabo fuera de esos supuestos y en todo caso será muestra de una conducta proactiva y tendente al cumplimiento de la protección de datos de carácter personal por parte de la entidad que lleve el tratamiento.

2. Tengo un despacho de abogados, ¿debo tener un registro de actividades de tratamiento?

Pues, como se ha resuelto en la pregunta anterior, el registro se llevará según el tipo de datos que se traten en el despacho. Atendiendo a este requisito, se procederá a elaborar un registro de actividades y a comunicarlo a la AEPD (autoridad de control competente).