RGPD: ¿Cómo puedo crear un registro de actividades de tratamiento?

Desde la introducción del Reglamento General de Protección de Datos (RGPD) en 2018, las empresas han tenido que adaptarse a muchas innovaciones en el ámbito de la protección de datos. Esto incluye la introducción de un registro de actividades de tratamiento (RAT). Se trata de uno de los documentos más importantes que una empresa debe crear para cumplir con los requisitos de protección de datos y cumplir con la obligación de rendir cuentas en virtud del artículo 5 del RGPD.

El RGPD obliga a las empresas a mantener una documentación escrita y una visión general de todos los procedimientos automatizados o manuales en los que se procesan los datos personales. (Art. 30 RGPD). Pero, ¿qué hay detrás de esto y quién debe llevar ese registro? ¿A qué hay que prestar atención? Le mostraremos cómo debe ser un registro de actividades de tratamiento y le daremos consejos útiles para una implementación conforme a la RGPD.

¿Necesita ayuda o tiene preguntas sobre el tema de un registro de tramitación? Nuestro equipo, formado por expertos en las áreas de derecho de la protección de datos, informática y seguridad, estará encantado de apoyarle en la aplicación de la normativa de protección de datos. Contáctenos directamente para una consulta inicial sin compromiso.

Los hechos más importantes en resumen

• Por regla general, las empresas están obligadas a llevar un registro de las actividades de tratamiento.
• La creación de un registro de este tipo requiere un gran esfuerzo al principio, pero facilita el manejo de los datos personales en la empresa a largo plazo. El registro ofrece una visión global del tratamiento de datos personales y de las distintas operaciones de tratamiento.
• Este registro también facilita el análisis de riesgos y la evaluación de los distintos procesos, ya que cada uno de ellos está desglosado en detalle.
• Al transferir datos personales a un tercer país, hay que tener especial cuidado de no infringir la normativa legal. En este caso, también es útil un registro de procesos, ya que muestra exactamente qué procesos suponen un riesgo importante.

Registro de actividades de tratamiento

El artículo 30 del RGPD obliga a mantener por escrito (también en formato electrónico) la documentación y los resúmenes de todos los procesos en los que se trabaja con datos personales. Esto significa que todos los tratamientos de datos sensibles deben figurar y detallarse en este registro.

Además, se deben documentar los detalles esenciales del tratamiento de datos, como las categorías de tratamiento, los afectados, la finalidad del tratamiento y las categorías de destinatarios.

Este registro de actividades de tratamiento también sirve para la inspección por parte de la autoridad de control competente. Las operaciones de tratamiento pertinentes deben ponerse a su disposición cuando las solicite. Para las empresas, esto significa que tiene sentido crear y mantener dicho registro con mucho cuidado para demostrar que existe una buena gestión de la protección de datos.

De lo contrario, siempre existe el riesgo de que surjan conflictos con la autoridad de control o de que la empresa sea incluso procesada por infringir las directrices de protección de datos.

¿Quién debe llevar un registro de actividades de tratamiento? 

En principio, toda empresa con más de 250 empleados está obligada a llevar este registro. Además, existen las siguientes excepciones que también obligan a las empresas con menos de 250 empleados a mantener un registro de tratamiento:

1. El tratamiento plantea riesgos elevados para los derechos y libertades de los afectados.
2. La empresa realiza el tratamiento de forma regular.
3. El tratamiento implica categorías especiales de datos, como datos sobre la salud, información sobre la religión o los opiniones políticas.

Conviene saberlo: Casi siempre se aplica una de estas excepciones. Aunque sólo sea porque la mayoría de las empresas mantienen un archivo de personal en el que se almacenan, modifican o eliminan periódicamente datos muy personales de los empleados. Por ello, casi todas las empresas tienen la obligación de llevar ese registro. 

¿Cuáles son las sanciones por no llevar un registro de actividades de tratamiento?

Si la autoridad de control no puede recibir un registro cuando lo solicite porque la empresa no mantiene un registro de tratamiento, primero preguntará por qué. En caso de duda, la empresa tendrá entonces un punto de vista diferente sobre si tiene la obligación de mantener un registro de tratamiento o no. La consecuencia en algunos casos es un costoso y largo litigio.

En la mayoría de los casos, la autoridad impondrá a la empresa la obligación de llevar un registro de tratamiento. En caso de incumplimiento de este requisito o si es evidente que había que llevar un registro, existe la amenaza de multas nada despreciables, pero también son posibles las condenas penales. Se miden por el volumen de negocio de la empresa correspondiente y no deben subestimarse.

En algunos casos, la autoridad da a las empresas la oportunidad de presentar un registro de actividades de tratamiento en un plazo que suele ser de 2 a 3 semanas.

Conviene saberlo: Nunca debe confiar en la buena voluntad de las autoridades con su empresa. Por lo tanto, es aconsejable evitar una disputa y crear un registro de actividades de tratamiento inmediatamente.

¿Quién tiene acceso al registro de actividades de tratamiento?

Este registro de actividades de procesamiento no es público, por lo que no hay riesgo de divulgación mediante la transferencia de secretos empresariales y comerciales. El registro no es accesible para todos. Ni siquiera los afectados, que en principio tienen derecho a solicitar información sobre el uso de sus datos, tienen acceso a este registro. No es necesario que sea accesible para ellos.

Sólo los delegados de la protección de datos, si los hay, que también participan en la elaboración del registro de actividades de tratamiento, así como la dirección y la gerencia de la empresa están autorizados a inspeccionarlo. Además, como ya se ha mencionado, la autoridad de control competente debe recibir el registro de las actividades de tratamiento si lo solicita.

Registro de actividades de tratamiento de datos según la RGPD

Casi todas las empresas están obligadas a mantener un registro de actividades de tratamiento, tal y como prescribe el legislador a nivel europeo en la RGPD. Este registro no es nuevo; ya se exigía un registro de actividades de procesamiento en la normativa federal aplicable anteriormente: la Ley Federal de Protección de Datos (BDSG).

El nuevo registro con algunos cambios sustituye al anterior registro de procedimientos. El término actividades de tratamiento según el art. 30 de la RGPD debe entenderse en sentido amplio: Incluye todo tipo de uso, como la recogida, el almacenamiento, la supresión, la modificación, la fusión, la lectura, la comparación o también la transmisión de datos personales. Por lo tanto, todos los procesos en los que los datos personales desempeñan un papel deben ser mencionados y enumerados en el registro de actividades de tratamiento.

En dicho registro, deben facilitarse numerosos detallos, como las categorías de tratamiento, los datos de contacto de los responsables y del delegado de protección de datos, el grupo de afectados, la finalidad del tratamiento y los respectivos destinatarios de los datos (en la medida en que no se traten internamente).

Lo ideal es que también se incluya información sobre las medidas técnicas y organizativas (MTO). Además, también habría que añadir los plazos de supresión para que todo sea más claro y se cumplan los plazos legales de conservación.

Un registro de este tipo garantiza que quede claramente registrado qué actividades de tratamiento existen en una empresa. Esto no sólo es importante para las autoridades de supervisión en sus inspecciones, sino que también proporciona información dentro de la empresa sobre los procesos que se llevan a cabo. De esta manera, se puede crear una mejor visión general de dónde se realiza el procesamiento de qué tipo y si se puede optimizar o, en caso de duda, incluso reducir para contrarrestar los riesgos significativos de percances en la protección de datos.

Si las estructuras exactas del procesamiento de datos son evidentes, una buena gestión de la protección de datos puede basarse en ello. Si se recopila con cuidado, un registro de este tipo sólo supone un gasto adicional a corto plazo. A largo plazo, facilita a las empresas el cumplimiento de la protección de datos y reduce los riesgos.

Crear un registro de tratamiento 

En principio, las empresas tienen vía libre para crear un registro de tramitación. El RGPD no establece una forma específica o un modelo que deba cumplirse. También buscará en vano el formulario correspondiente.

No obstante, existen algunos requisitos sobre lo que debe incluirse en dicho registro:

1. Hoja de portada: la hoja de portada debe nombrar a la empresa en cuestión, sus datos de contacto y la información sobre el delegado de la protección de datos. También deben mencionarse aquí los datos exactos de los responsables del tratamiento.
2. Sección principal: Aquí se enumeran, describen, desglosan y analizan las operaciones exactas de los distintos procesos de tratamiento de datos. También debe conservarse la documentación de los distintos procesos.
3. Medidas técnicas y organizativas (TOM): aquí se incluye una lista de la seguridad del edificio y de las tecnologías de la información, las normas e instrucciones de trabajo para los empleados, los acuerdos de la empresa y otras medidas organizativas que garantizan el cumplimiento de la norma de protección de datos de la empresa. Dado que estas medidas organizativas suelen documentarse por separado, pueden adjuntarse simplemente al registro de tratamiento.

¿Qué contenido debe tener el registro real de actividades de tratamiento? 

Más allá de la estructura aproximada, hay algunos requisitos relacionados con el contenido que deben respetarse. Se refieren principalmente a la parte principal del registro, en la que se exponen los distintos procesos.

Cada actividad de tratamiento debe describirse detalladamente con los siguientes criterios:

1. Finalidad del tratamiento: debe ser reconocible la finalidad del tratamiento de los datos. Los fines legítimos pueden ser, por ejemplo, el archivo personal o un registro de pacientes. También se debe nombrar aquí al controlador (por ejemplo, en el caso de los expedientes de personal, el personal del departamento de recursos humanos).
2. Categorías especiales de datos personales: También es importante especificar las categorías especiales de datos. Se trata del tipo de datos recogidos, por ejemplo, nombre y apellidos, número de la seguridad social, dirección o similares.
3. Los afectados: Además, hay que determinar las categorías de afectados, es decir, aquellos cuyos datos se tratan aquí. En el caso de un expediente de personal, por ejemplo, son los empleados, en el caso de un registro de pacientes, los pacientes, etc.
4. Destinatario de los datos: El destinatario de los datos también debe ser nombrado. El destinatario es cualquier persona que tenga acceso a los datos después del tratamiento y pueda verlos. En el caso de los procesos internos, se trata de los empleados. Si los datos se transmiten a terceros, por ejemplo a un asesor fiscal o a una oficina de nóminas, estos también deben ser nombrados. Es irrelevante que estas personas tengan realmente acceso a los datos recogidos. La mera posibilidad es suficiente.
5. Períodos de retención y borrado: Además, deben indicarse los períodos de retención de los datos personales y las correspondientes categorías de tratamiento. En el caso de un expediente de personal, es lógico que se conserve hasta que el empleado se vaya, al igual que en el caso de los pacientes o clientes. Para el borrado de datos, la empresa debe tener un concepto de borrado que regule lo que ocurre con los datos cuando el periodo de retención ha expirado.

¿Cuál es el papel del delegado de la protección de datos?

Es importante señalar que, por principio, la dirección es responsable de la creación del registro. El delegado de la protección de datos asesora y apoya a la empresa o a la dirección en todas las cuestiones relacionadas con la protección de datos. Esto incluye también la creación y administración del registro de actividades de procesamiento.

En primer lugar, el delegado de la protección de datos debe hacerse una idea de todos los procesos de la empresa y obtener una visión general. El RGPD también le da la autoridad para hacerlo. Para obtener una visión general de cada proceso que implique datos personales, el DPD puede ponerse en contacto con los distintos departamentos y pedirles que le expliquen cómo tratan los datos personales.

Al hacerlo, los delegado de la protección de datos deben pedir las siguientes pistas:

• ¿Qué actividades y procesos tienen lugar exactamente?
• ¿A qué empleados se les confían estas tareas?
• ¿Qué programas/software se utiliza?
• ¿Quién proporciona los datos?
• ¿A quién se transmiten posteriormente los datos?

Además, el delegado de la protección de datos puede, por supuesto, pedir a los distintos departamentos que le soporten activamente a recopilar y preparar la información sobre los procesos. No es necesario preguntar a cada empleado individualmente, sino que basta con que los departamentos preparen internamente un resumen de las actividades y los responsables y lo transmitan al delegado de la protección de datos para que éste introduzca la información recogida en el registro de tratamiento.

El objetivo de esta recogida de información debe ser obtener una visión detallada del tratamiento de datos personales especiales en la empresa y garantizar la integridad de un registro de tratamiento.

Para ello, también puede ser útil contar con el apoyo de un consultor externo y consultarlo para la elaboración de un registro de tratamiento. Nuestros consultores, especializados y con experiencia en este campo, saben qué preguntas hacer, examinan los procesos existentes y están al tanto de las áreas problemáticas que de otro modo podrían pasar desapercibidas.

Conviene saberlo: Si decide recurrir a un consultor externo, éste ya se habrá familiarizado y habrá recibido la formación adecuada. Una mirada objetiva y formada puede marcar la diferencia a la hora de crear un registro de actividades de tratamiento y revisar la protección de datos en la empresa.

Conclusión

La creación de un registro de actividades de tratamiento lleva mucho tiempo, no es raro que un documento tenga 100 páginas. La plataforma Priverion simplifica la creación y la gestión. Una vez creado, este documento proporciona información importante sobre la protección de datos. Además, muchos documentos que pasan a formar parte de un registro de actividades de tratamiento ya existen y sólo hay que introducirlos.

Durante el proceso de creación, suelen salir a la luz algunos errores y riesgos que, de otro modo, nunca se habrían advertido. Por lo tanto, es una oportunidad para escudriñar, comprobar y, si es necesario, "desordenar" adecuadamente las actividades individuales de tratamiento de la empresa.

De este modo, se pueden optimizar y actualizar los procesos. Además, las empresas sabrán exactamente qué datos se procesan en su empresa y cuáles son quizás superfluos. Esto hace que todo el sistema sea más eficiente.

Además de cumplir con la obligación legal de mantener dicho registro de tratamiento, también ofrece muchas oportunidades y posibilidades. Por último, pero no menos importante, las empresas desarrollan una sensibilidad para sus propios procesos y posibilidades de optimización en el tratamiento de los datos personales.