Blog

El Reglamento Europeo de Protección de datos  entiende por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Pues bien, el RGPD en su artículo 30, establece que “Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Y esto quiere decir que las empresas deberán controlar de una manera proactiva los registros donde se especifiquen los datos que tratan y cómo los tratan, puesto que ya se ha eliminado la obligatoriedad de registrar los ficheros en la Agencia Española de Protección de Datos.

En este mismo artículo, se establece también qué información deberá contener dicho registro:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

1. a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
2. b) los fines del tratamiento;
3. c) una descripción de las categorías de interesados y de las categorías de datos personales;
4. d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
5. e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
6. f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
7. g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

La Agencia Española de Protección de Datos (AEPD) ha publicado una “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” en la que indica que,  partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, puede ser una buena opción para organizar el registro de actividades de tratamiento.

¿Y Es obligatorio?

En principio, están exentas de llevar un Registro de Actividades de Tratamientos las empresas   que tenga menos de 250 empleados, salvo que el tratamiento que realicen de los datos pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

A pesar de esto, y dado la importancia que el RGPD otorga a la responsabilidad proactiva de la empresa, puede ser recomendable realizar dicho registro, aunque no sea obligatorio.

Foto: JUNGLEDRUMS Magazine