La entrada en vigor del nuevo Reglamento General de Protección de Datos ha implicado una serie de cambios respecto a las obligaciones existentes en la antigua Ley Orgánica de Protección de Datos.

En este post nos centraremos en la novedad que ha significado el artículo 30 del citado reglamento: la elaboración de un registro de actividades de tratamiento.

Con este cambio de normativa se suprime la obligación que existía con anterioridad de notificar la inscripción de nuevos ficheros a la Agencia Española de Protección de Datos.

 

Contenido del Registro

El registro de actividades de datos es aquel que debe llevar el Responsable del Tratamiento o el Encargado del Tratamiento, el cual deberá realizarse atendiendo a lo establecido en el artículo 30 del citado Reglamento, si bien es cierto que no existe ninguna formalidad para el mismo, el contenido deberá ser el siguiente:

  • Nombre y datos de contacto del responsable. Si fuera el caso, se debe incluir también el del representante del responsable, el del corresponsable y el del delegado de la protección de los datos personales.
  • Fines escogidos para el tratamiento.
  • Enumeración de las categorías de datos personales e interesados.
  • Todas las transferencias de carácter internacional, en su caso.
  • Tipo de tratamiento.
  • Tecnología utilizada para el tratamiento de los datos personales.
  • Herramienta o servicio tecnológico utilizado para el tratamiento.
  • Plazo de conservación de los datos.
  • Describir las medidas de organización y técnicas.

El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.

¿Quién estará obligado a elaborar este registro?

A grandes rasgos, dicho registro no será obligatorio cuando la entidad emplee a menos de 250 trabajadores, así pues, atendiendo este hecho, habrá un elevado número de organizaciones que no se encontrarán obligadas por el RGPD a llevar a cabo el registro de actividades del tratamiento.

No obstante, hay que tener en cuenta que este registro, independientemente del número de trabajadores, será necesario siempre y cuando el tratamiento de los datos implique un alto riesgo para los derechos y libertades de los interesados, o bien se traten datos del siguiente tipo:

  • Condenas e infracciones penales.
  • Categorías especiales de datos personales.
  • Origen étnico o racial.
  • Opiniones políticas.
  • Convicciones religiosas o filosóficas.
  • Afiliación sindical.
  • Tratamiento de datos genéticos.
  • Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
  • Datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

Por lo tanto, a pesar de que la elaboración de un registro de actividades no supone una obligación para todas las empresas, se trata de una práctica muy recomendable, además de una herramienta que permite al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa, recordando que el RGPD trae como novedad el principio de responsabilidad proactiva, por el cual, no solo se deberá cumplir con la normativa, sino que también se garantizará y demostrará que el tratamiento de los datos es conforme con el Reglamento.

Posibles sanciones

Para el caso que tu empresa se encuentre con la obligación de elaborar un registro de actividades de tratamiento y no lo elabore, la normativa en materia considera que se trata de una infracción grave, por lo que atendiendo al incremento que han sufrido las sanciones, las mismas podrán alcanzar la cuantiosa cifra de 20.000.000 € o el importe correspondiente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, por lo que las empresas deberán tener especial cuidado en el cumplimiento de la ley.

En síntesis, se exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo, por lo que deberá tener en cuenta a qué está obligada su empresa.

Si necesitas ayuda para con el registro de actividades de tratamiento o necesitas asesoramiento de nuestros profesionales, contacta con nosotros.