560 - Definición y regulación del registro de actividades de tratamiento en relación al tratamiento de datos personales

El registro de actividades de tratamiento de datos personales es aquel registro llevado a cabo por el responsable y encargado de tratamiento que contendrá los siguientes datos:

• Nombre y contacto del responsable o encargado de tratamiento o sus representantes. 
• La finalidad del tratamiento.
• Categorías de datos.
• Categorías de destinatarios de los datos.
• Transferencias de datos a terceros países u organizaciones internacionales.
• Plazos para la supresión de los datos.
• Las medidas de seguridad llevadas a cabo por el encargado de tratamiento (en este caso, constará en el registro de actividades de tratamiento del encargado).

Regulación del registro de las actividades de tratamiento en el RGPD

Artículo 30 del RGPD

«1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10».

Es decir, el responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento que deberá contener la siguiente información:

• Nombre y datos de contacto del responsable, corresponsable, representante del responsable y del delegado de protección de datos.
• Fines del tratamiento.
• Descripción de las categorías de interesados y de datos personales.
• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
• Transferencias de datos personales a un tercer país u organización internacional, en su caso.
• Plazos para la supresión de las diferentes categorías de datos, si es posible.
• Si es posible, una descripción general de las medidas técnicas y organizativas de seguridad del artículo 32.1 del RGPD.

Asimismo, llevará un registro de todas las categorías de actividades de tratamiento que comprenda los siguientes aspectos:

• Nombre y datos de contacto del encargado/s, responsable por cuenta del cual actúe el encargado, representante del responsable o encargado, en su caso, y del delegado de protección de datos.
• Categorías de tratamientos efectuados por cada uno de los responsables.
• Transferencias de datos personales a un tercer país y organización internacional, en su caso.
• Descripción general de las medidas técnicas y organizativas de seguridad del artículo 30.1 del RGPD.

Además, el considerando 82 del RGPD declara que, para demostrar la conformidad con el RGPD, «(...) el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento».

A TENER EN CUENTA.  Las obligaciones indicadas en los apartados 1 y 2 del artículo 30 del RGPD no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de la misma norma (artículo 30.5 del RGPD).

CUESTIONES

1. ¿Deberán constar por escrito los registros del apartado primero y segundo del artículo 30 del RGPD?

Sí, los registros de referencia constarán por escrito, inclusive en formato electrónico (artículo 30.3 del RGPD).

2. ¿Qué obligación tendrá el encargado en relación con el registro de las actividades de tratamiento?

El encargado del tratamiento o el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite (artículo 30.4 del RGPD).

3. ¿Estará obligado el encargado del tratamiento a cooperar con la autoridad de control?

Sí, el responsable del tratamiento, y, en su caso su representante, cooperarán con la autoridad de control que lo solicite en el ámbito de sus funciones (artículo 31 del RGPD).

Regulación del registro de las actividades de tratamiento en la LOPDGDD

Artículo 31 de la LOPDGDD

«1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.

Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal».

Es decir, los encargados del tratamiento, o su representante, tendrán que mantener el registro de actividades de tratamiento salvo que sea aplicable la excepción del apartado 5 del artículo 30 del RGPD.

CUESTIONES

1. ¿Qué deberá comunicar el encargado del tratamiento al DPD?

Conforme el artículo 31.1 de la LOPDGDD, si el encargado del tratamiento hubiera designado un DPD deberá informarle de cualquiera de las siguientes circunstancias relacionadas con el contenido del registro:

- Adición.

- Modificación.

- Exclusión. 

2. ¿El encargado del tratamiento tendrá obligación de bloquear los datos?

Según lo dispuesto en el artículo 32.1 de la LOPDGDD, «El encargado del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión». 

3. ¿Qué deberá especificar el registro de actividades de tratamiento de datos?

El registro de actividades tendrá que indicar los siguientes aspectos:

- Actividades de tratamiento llevadas a cabo.

- Otras circunstancias establecidas en el RGPD. 

4. ¿Quiénes son los sujetos regulados en el apartado primero del artículo 77 de la LOPDGDD?

Se establece un régimen aplicable distinto cuando los responsables o encargados del tratamiento sean:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración local.

d) Los organismos públicos y entidades de derecho público vinculadas o dependientes de las Administraciones públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las universidades públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las asambleas legislativas autonómicas, así como los grupos políticos de las corporaciones locales.

Ahora bien, dichos sujetos «harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal» (artículo 31.2 de la LOPDGDD).

Para concluir, debemos destacar el Dictamen 1/2010 sobre los conceptos de «responsabilidad del tratamiento» y «responsable del tratamiento» del Grupo del artículo 29 sobre Protección de Datos, mediante el cual se realiza un análisis en profundidad de los aspectos tratados en este punto.