Uno de los cambios que la nueva normativa de protección de datos ha traído es la elaboración de un Registro de Actividades de Tratamiento. Anteriormente existía la obligación de de inscribir ficheros que contenían datos personales en el apartado que la Agencia Española de Protección de Datos tenía a tal efecto, pero esto ha sido sustituido por el citado registro.
Con el RGPD, la protección de datos gira entorno a la aplicación del principio de responsabilidad proactiva o accountability. Este principio consiste en la necesidad de que el responsable del tratamiento sea el que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma.
Así, una de las medidas en las que se materializa este principio es el Registro de Actividades de Tratamiento, que viene regulado en el artículo 30 del Reglamento y el cual debe contener la siguiente información:
Como responsable del tratamiento:
a) El nombre y los datos de contacto del responsable y del delegado de protección de datos.
b) Los fines del tratamiento.
c) Una descripción de las categorías de interesados y de las categorías de datos personales.
d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional.
f) Los plazos previstos para la supresión de las diferentes categorías de datos, siempre y cuando sea posible.
g) cuando sea posible, Una descripción general de las medidas técnicas y organizativas de seguridad, cuando sea posible.
Como encargado del tratamiento:
a) El nombre y los datos de contacto del encargado del responsable por cuenta del cual actúe el encargado, y del delegado de protección de datos.
b) Las categorías de tratamientos efectuados por cuenta de cada responsable.
c) En su caso, las transferencias de datos personales a un tercer país u organización internacional.
d) Una descripción general de las medidas técnicas y organizativas de seguridad, siempre y cuando sea posible.
Conviene resaltar que a diferencia de la anterior regulación, hay que llevar un registro de tratamientos, no de ficheros. Siendo este punto de gran importancia puesto que un tratamiento consiste en la ”operación o conjunto de operaciones realizadas sobre datos personales” mientras que los ficheros son el ”conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.” Cuestión vital, puesto que ahora hay que registrar operaciones de tratamiento, no los datos mismos.
¿Quiénes están obligados? Deben llevar un Registro de Actividades de Tratamiento todos los responsables y encargados del tratamiento que efectúen tratamientos de datos bajo su responsabilidad. Si bien, el RGPD establece una excepción a la obligación de confeccionar el registro, que es la de empresas y organizaciones que tengan menos de 250 trabajadores, a menos que:
En definitiva, atendiendo a esta excepción, están obligados a llevar un Registro prácticamente todas las empresas y organizaciones, públicas y privadas, y ello con la expresa obligación de que se lleve por escrito, inclusive en formato electrónico y de manera clara y legible, de forma que sea comprensible para terceros.