El registro de actividades del tratamiento
La nueva legislación en materia de protección de datos, esto es el RGPD, establece nuevas obligaciones para los responsables y representantes de los tratamientos que se lleven a cabo. En sentido los responsables están obligados a llevar un registro de las actividades de tratamiento bajo su propia responsabilidad.
¿Quién está obligado a realizar el registro de actividades de tratamiento?
Dicha obligación corresponde tanto al responsable del tratamiento como el encargado del Tratamiento. No obstante, el Reglamento no obliga a todos los responsables o encargados a llevarlo a cabo, si no que establece unos requisitos:
- La empresa u organización que tenga más de 250 empleados.
- Se realicen tratamientos que puedan entrañar un riesgo y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.
- Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.
¿Cómo podemos llevar a cabo el registro de las actividades de tratamiento?
Tal y como hemos expuesto anteriormente, los responsables y/o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad, cooperando a su vez con la Autoridad de Control.
Los registros, por norma general, deben estar elaborados en soportes que permitan un acceso rápido y seguro, permitiendo actualizar la información contenida cuando sea necesario.
El registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de Control si ésta nos lo solicita.
¿Qué consecuencias tiene no disponer del registro de actividades del tratamiento?
El RGPD, considera como infracción grave el no disponer de un Registro de actividades de tratamiento en los casos en que sea necesario. Por lo tanto, toda aquella institución que no cumpla con ello, podrá ser sancionada con multas de hasta varios millones de euros o el 4% del volumen global de facturación anual de la empresa.
¿Para qué le sirve a las empresas disponer del registro de actividades del tratamiento?
A parte de ser una obligación para los responsables, el mantenimiento de estos registros sirve, a las empresas, como vía para demostrar la conformidad con el RGPD y acreditar su cumplimiento (principio de responsabilidad proactiva).
¿Qué información debe contener el registro de actividades del tratamiento?
Como veníamos explicando, las empresas deberán realizar el registro de actividades del tratamiento y deberá contener la siguiente información:
- El nombre y los datos del contacto del responsable y corresponsable, del representante del responsable y del delegado de protección de datos.
- Los fines del tratamiento.
- La descripción de las categorías de interesados y de las categorías de datos personales que se tratan.
- Las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país, así como la documentación sobre garantías adecuadas para determinados casos.
- Los plazos previstos para la supresión de las diferentes categorías de datos, en la medida de lo posible.
- Una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de datos, (Seudonimización y cifrado de datos personales, capacidad de garantizar la confidencialidad, integridad, disponibilidad y fortaleza permanente de los sistemas y servicios de tratamiento, medidas para restaurar la disponibilidad y acceso a datos personales de forma rápida en caso de incidente, proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento)
¿Están obligados los responsables a definir las actividades del tratamiento?
Las actividades del tratamiento que se desarrollan, deberán estar definidas claramente por los responsables y encargados del tratamiento, ello es de gran importancia debido a que los mismos deberán saber qué tipo de datos están tratando y las finalidades para las que se vienen recogiendo dichos datos.
En definitiva, sí que es obligatorio que los responsables definan las actividades del tratamiento.
¿Definir las actividades del tratamiento es sinónimo de que se tengan que generar nuevas para incluirlas en el registro?
A la hora de definir las actividades del tratamiento no es necesario que se tengan que generar nuevas actividades para incluirlas en el registro, ya que lo importante es analizar si los tratamientos que se estaban realizando anteriormente son los mismos o si debemos generar una nueva formulación.
7 consideraciones que debemos tener en cuenta en los tratamientos de datos
El RGPD establece en su artículo 5 los siguientes principios que es necesario tener en cuenta en la definición de tratamiento:
- Licitud, lealtad y transparencia.
- Limitación de la finalidad.
- Minimización de datos.
- Exactitud.
- Limitación del plazo de conservación.
- Trazabilidad.
- Integridad y confidencialidad.
¿Cómo registramos las actividades del tratamiento si somos los responsables?
El registro de actividades, deberá contener una serie de información de manera obligatoria: el nombre del tratamiento, los datos de contacto, los fines para los que se lleva a cabo el tratamiento, la descripción del tratamiento en cuanto a su categoría se refiere, las categorías de los datos personales que se traten, las categorías de los destinatarios y, finalmente, los plazos en que se puede llevar a cabo la supresión de los datos de nuestros clientes
No obstante, para el caso de que no sea el responsable del tratamiento quien ejecute el registro y sea el encargado, tan solo se cumplimentarían los puntos: nombre del tratamiento, datos de contacto del responsable y del encargado, categorías de datos personales y transferencia internacional de datos.
¿Y si tratamos categorías especiales de datos?
El RGPD considera determinados datos “sensibles” (salud, religión, biométricos…) como tratamientos especiales.
¿De qué datos se prohíbe su tratamiento?
Aquellos datos que revelen pensamientos, ideologías u otros similares, estarán prohibidos en cuanto a su tratamiento se refiere, concretamente aquellos que revelen:
- origen étnico o racial.
- opiniones políticas.
- convicciones religiosas o filosóficas.
- afiliación sindical.
- tratamiento de datos genéticos (datos biométricos).
- datos relativos a la salud (vida sexual u orientación sexual).
¿Cómo se regula el tratamiento de los datos personales en relación con la libertad de expresión?
La libertad de expresión es un derecho constitucional recogido en nuestra carta magna, y ello supone que deberá respetarse siempre y cuando no infrinja los límites establecidos por la misma (relativos al derecho al honor, intimidad personal y familiar y a la propia imagen recogidos en el art.18 CE). Ello tiene una especial relación con la protección de datos, ya que la libertad de expresión tendrá sus límites también cuando no concilie con la protección de datos. Por ello, los Estados miembros deberán respetar el tratamiento de los datos personales en todo caso.
En definitiva, se protegerán los datos de los interesados y su tratamiento y, además se establecerán las correspondientes medidas para los casos en que dichos datos deban ser tratados para fines de interés público tales como investigación científica o histórica.