Guía sobre registro de actividades de tratamiento
Guía sobre registro de actividades de tratamiento
La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el 2018 supuso importantes novedades en materia de protección de datos, sobre todo, en lo que se refiere a obligaciones y derechos. Así, se vino a superar la obligación que tenían las empresas de inscribir los ficheros en el registro de protección de datos frente a la AEPD. En la actualidad esto ya no es necesario. Ahora bien, no podemos olvidarnos de cumplir con las nuevas condiciones que se nos imponen con la entrada en vigor del RGPD, como la de llevar un registro de actividades de tratamiento, también denominado ROPA o RAT.
Si tienes inquietud saber qué es el registro de actividades de tratamiento, en este artículo te contamos todo lo que necesitas saber.
Lo primero que vamos a necesitar conocer es a qué nos referimos con actividades de tratamiento. Así, cuando hablamos de tratamiento de datos nos estamos refiriendo a cualquier operación realizada sobre datos personales, sea por procedimientos automatizados o no. Entre estas operaciones podemos destacar la recogida, la conservación, el registro, la utilización, consulta, la supresión, etc.
¿Por qué es importante el inventario de datos?
Uno de los activos más valiosos con los que cuentas las organizaciones son los datos, por ello es necesario conocer y manejar de manera adecuada el tratamiento que se hace de los mismos, de ahí la importancia de disponer de un inventario de datos.
Con el RGPD, este inventario de datos, se materializa en el artículo 30, donde se establece que cada responsable deberá de elaborar un registro de actividades de tratamiento.
Este registro no es más que un documento donde se muestren, de manera detallada, ordenada y actualizada, todos los tratamientos de datos que se llevan a cabo dentro de una organización. Será un pilar básico para llevar a cabo un correcto tratamiento de los datos. Así, la identificación y descripción de las actividades del tratamiento debe de ser lo más pormenorizada posible porque no solo es una obligación, sino una necesidad en las fases iniciales para facilitar el análisis de riesgos.
El registro, además de ser una obligación y una medida más de cumplimiento, también nos sirve como herramienta y medio de prueba que demuestra el cumplimiento de la organización de conformidad con el RGPD.
Por otro lado, con fines de transparencia, las entidades señaladas en el artículo 77.1 de la LOPDGDD, además del ROPA, deberán hacer público un inventario de sus actividades de tratamiento de manera que sea accesible por medios electrónicos.
Obligatoriedad sobre el registro de actividades de tratamiento.
Como hemos visto, el artículo 30 del RGPD impone la obligación de disponer de un registro de actividades del tratamiento, pero ¿es aplicable a todas las organizaciones?
Empresas y entidades que cuenten con más de 250 trabajadores.
A grandes rasgos podemos decir que todas aquellas organizaciones, sean públicas o privadas, que cuenten con más de 250 empleados deben de disponer de un registro de actividades de tratamiento. Ahora bien, esto no quiere decir que aquellas que dispongan de menos de 250 estén completamente exentas de cumplir con tal obligación. Para ello, debemos de atender a lo siguiente.
Empresas y entidades con menos de 250 trabajadores.
Si aun teniendo menos de 250 trabajadores, estamos ante alguno de los supuestos que a continuación se describen, también estaremos obligados a disponer de un registro de actividades de tratamiento:
- El tratamiento puede entrañar un riesgo para los derechos y libertades de los interesados.
- El tratamiento no es ocasional.
- El tratamiento incluye categorías especiales de datos tales como el origen étnico o racial, sexualidad, religión, datos biométricos, entre otros.
- El tratamiento se refiere a datos relativos a condenas e infracciones penales.
En definitiva, si atendemos a estos supuestos, son muy pocas las organizaciones que no deben de disponer de un ROPA, por ello, si tienes dudas de cómo hacerlo, puedes consultar nuestro artículo Cómo hacer un registro de actividades de tratamiento.
El hecho de no disponer de un ROPA en caso de estar obligado es considerado como una infracción grave y puede acarrear la imposición de sanciones, por ello siempre es importante contar con profesionales especializados que puedan ayudarte como Seifti y su Software de registro de actividades de tratamiento (RAT).
.
¿Qué dice el artículo 4.2 RGPD sobre el tratamiento de datos?
Como hemos visto antes, para poder realizar un ROPA o un registro de actividades de tratamiento de manera adecuada, una de las primeras cosas que necesitamos conocer es cuándo estamos haciendo un tratamiento de datos. En este sentido, es el propio RGPD el que en su artículo 4.2 nos da una definición de lo que es “tratamiento”.
Así, de conformidad con el RGPD, definimos tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no. Dentro de estas operaciones se encuentran la recogida, el registro, la conservación, la modificación, la consulta, la difusión, la limitación, la destrucción, el acceso, etc.
Debemos prestar atención al tratamiento de los datos que estamos haciendo porque de ello derivarán una serie de obligaciones que debemos de cumplir.
¿Quién es el responsable de llevar el registro de actividades de tratamiento?
Tal y como se dispone en el artículo 30, apartados 1 y 2, el registro de actividades de tratamiento debe de llevarlo tanto al responsable como el encargado de tratamiento, o sus respectivos representantes. Así, ambos deberán de mantener los ROPA que se encuentren bajo su responsabilidad y cooperando siempre con la Autoridad de Control.
Para saber quién es el responsable de tratamiento podemos acudir al artículo 4.7 del RGPD que nos da una definición clara. Así, el responsable del tratamiento es aquella persona que determina los fines y medios de tratamiento. Puede ser una persona física, jurídica, autoridad pública, servicio u otro organismo.
Cuando hablamos del contenido del ROPA, vamos a tener una distinción entre si el registro lo hace el responsable o el encargado de tratamiento, cuestión que abordaremos más adelante.
¿Quién es el encargado del tratamiento?
El encargado de tratamiento es otro de los actores clave que intervienen en el tratamiento de datos. Para saber qué es un encargado debemos de acudir al artículo 4.8 del RGPD.
Si nos ajustamos a la definición que nos da el Reglamento, este nos dice que el encargado del tratamiento es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Si quieres ampliar la información acerca de las funciones del encargado de tratamiento, puedes consultar nuestro artículo Diferencias entre responsable y encargado del tratamiento de datos.
Como hemos visto, además del responsable, el encargado del tratamiento también juega un papel fundamental a la hora de cumplir con la obligación de disponer de un ROPA para el tratamiento de las actividades efectuadas por cuenta del responsable.
¿Qué información debe contener el registro de actividades de tratamiento?
Tal y como se puede ver en artículo 30 RGPD, se contempla una distinción de si el registro lo lleva a cabo el responsable o el encargado.
Tanto el RGPD como la LOPDGDD exigen un contenido mínimo que debe de ser tenido en cuenta por el responsable a la hora de elaborar un registro de actividades de tratamiento. Este debe de ser lo más detallado posible y debe de contar con:
- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional.
- Los plazos previstos para la supresión de las diferentes categorías de datos, cuando sea posible.
- Una descripción general de las medidas técnicas y organizativas de seguridad, cuando sea posible.
Como dice la AEPD, el contenido del Registro de Actividades de Tratamiento constituye una información mínima exigible. En este sentido, además de lo anterior, el registro también puede incluir aspectos que faciliten la aplicación de la responsabilidad proactiva como: análisis de riesgos, la descripción sistemática del tratamiento, los sistemas de información sobre los que se apoya, la descripción de la identidad de los encargados del tratamiento, las garantías previstas para llevar a cabo transferencias internacionales de datos, etc.
Por otro lado, cuando el registro lo debe de realizar el encargado, este debe de contener la siguiente información:
- Su nombre y datos de contacto, así como los de cada responsable por cuenta de quienes actúe y, en su caso, los de su representante o representante del responsable y los del DPO.
- Las categorías de tratamientos efectuadas por cuenta del responsable.
- Las transferencias de datos personales que efectúa a un tercer país u organización internacional, con mención del destinatario y la documentación de garantía adecuadas.
- Una descripción general de las medidas de seguridad, en caso de ser posible.
No nos podemos olvidar que, en caso de dar acceso al contenido del ROPA, se debe prestar especial atención para evitar desvelar cualquier información que pudiera ser perjudicial para la organización o que pueda comprometer la propia seguridad de la misma. Por ejemplo, si incluimos una descripción de las medidas de seguridad.
El ROPA es un documento de carácter interno de la organización que no debe inscribirse en ningún registro. Ahora bien, este debe de ser conservado y estar actualizado por si lo solicitase la autoridad de control, en nuestro caso, la AEPD. Los registros constarán por escrito inclusive en formato electrónico.
Finalmente, si todavía estás pensando si tu organización necesita ayuda con la generación de registros de actividades de tratamiento, Seifti te puede ayudar con consultoría o bien puedes usar el software que digitaliza todo el proceso.
No Comments