Protección de Datos Personales – Registro de las Actividades de Tratamiento

La anterior normativa sobre protección de datos personales exigía a las entidades privadas y a las administraciones públicas notificar a la Agencia Española de Protección de Datos la creación de un fichero datos de carácter personal, el cual se inscribía en el Registro General de Protección de Datos, y que podía ser consultado por cualquier interesado.

Con la entrada en vigor de Reglamento general de protección de datos¹REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE en adelante RGPD, esta obligación desapareció, y fue sustituida, por el Registro de las Actividades de Tratamiento, aunque, como veremos, no es obligatorio para todos los responsables y encargado del tratamiento.

Registro de las actividades de tratamiento

Normativa

El art. 30 del RGPD establece que cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, y cada encargado y, en su caso, el representante del encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.

Obligación que reitera la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPDyGDD cuando dice en su art. 31 que los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679.

Excepciones a la obligación

No todos los responsables y encargados del tratamiento están obligados a llevarlo, pues no es exigible a que aquella empresa u organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física), o datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.

Sujetos obligados a registrar y publicar

Por otro lado la LOPDyGDD²La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales exige que lleven un registro de las actividades de tratamiento y lo publiquen por medios electrónicos los siguientes sujetos (a los que se refiere el art. 77.1 de dicha ley):

1. Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
2. Los órganos jurisdiccionales.
3. La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
4. Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
5. Las autoridades administrativas independientes.
6. El Banco de España.
7. Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
8. Las fundaciones del sector público.
9. Las Universidades Públicas.
10. Los consorcios.
11. Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

No obstante, aunque una entidad u organización no se esté obligado por el RGPD a llevar un Registro de Actividades, lo recomendable es llevarlo, y ello debido al principio de responsabilidad proactiva que exige al Responsable y Encargado demostrar que cumple con los principios relativos al tratamiento y la aplicación de medidas técnicas u organizativas apropiadas. Tener los tratamientos identificados conforme exige un registro de actividades es una buena medida organizativa.

Constancia

El registro de actividades para todos los obligados debe constar por escrito, inclusive en formato electrónico, y estará a disposición de la autoridad de control que lo solicite, en España La Agencia Española de Protección de Datos, y las autoridades autonómicas de protección de datos vasca y catalana, dentro del ámbito de sus competencias.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el RGPD.

Delegado de protección de datos

De acuerdo a lo establecido en la LOPDyGDD, cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

Contenido del Registro de las Actividades del Tratamiento

Para el Responsable del Tratamiento

1. El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
2. Los fines del tratamiento;
3. Una descripción de las categorías de interesados y de las categorías de datos personales;
4. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;³«destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero
5. En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas;
6. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
7. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1 del RGPD.

Para el encargado del Tratamiento en cuanto a los tratamientos que efectúa por cuenta de un responsable

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
2. Las categorías de tratamientos efectuados por cuenta de cada responsable;
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas;
4. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1 del RGPD.

Cuando se trate de uno de los sujetos a los que se refiere el art. 77.1 de la LOPDyGDD, además, el registro de actividades deberá contener la base legal del tratamiento.

Modelo Registro de las Actividades de Tratamiento

Con fines prácticos ponemos un ejemplo de formato de Registro de las actividades del tratamiento para un Responsable del Tratamiento: