Los responsables o los encargados del tratamiento deberán mantener registros de las actividades que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros.
Como ya hemos indicado en reiteradas ocasiones, a partir del 25 mayo de 2018 será aplicable el nuevo Reglamento Europeo de Protección de Datos
Una de las novedades que esta normativa establece es que ya no será necesario inscribir los ficheros en el Registro General de Protección de Datos de la AEPD. Sin embargo, se impone una nueva obligación que no es otra que la de llevar un Registro de actividades de tratamiento.
Según el Reglamento la obligación general e indiscriminada de inscripción de ficheros en el Registro General no ha contribuido en muchos casos a mejorar la protección de los datos personales, razón por la que la sustituye por procedimientos y mecanismos eficaces basados en la segmentación de tipos de operaciones de tratamiento que por su naturaleza, alcance, contexto y fines, entrañen un alto riesgo para los derechos y libertades de las personas.
Obligados
Esta obligación corresponde tanto al Responsable del fichero como al Encargado del tratamiento. Sin embargo, el RGPD no obliga a cualquier responsable o encargado a realizar ese Registro si no que establece unos requisitos:
1. Que la empresa u organización tenga más de 250 empleados.
2. Que se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados o incluyan categorías especiales de datos personales.
3. Que se manipulen datos relativos a condenas e infracciones penales.
Responsable
Si ese registro se realiza por el Responsable del fichero debe contener:
- La identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
- Los fines del tratamiento.
- La descripción de categorías de interesados y datos.
- Las categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
- Las transferencias internacionales de datos y la documentación de garantías exceptuadas sobre base de intereses legítimos imperiosos.
En su caso, cuando sea posible:
- Los plazos previstos para supresión de datos.
- La descripción general de medidas de seguridad:
• La seudonimización y cifrado de datos personales.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• La posibilidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Encargado
El registro que debe llevar el encargado debe contener la siguiente información:
- La identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos.
- Las categorías de los tratamientos efectuados por cuenta del responsable.
- Las transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
- Una descripción general de medidas de seguridad (cuando sea posible).
Incumplimiento
Tenga en cuenta que:
- El Registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control si ésta nos lo solicita.
- La falta del mismo, en los casos en que sea necesario, es considerada como infracción grave sancionable con multas que pueden alcanzar hasta el 4% del volumen global de facturación anual de la empresa.