El Reglamento General de Protección de Datos (en adelante, RGPD) será aplicable a partir del 25 de Mayo de 2018 y una de las nuevas obligaciones a cumplir es la de elaborar un Registro de Actividades de Tratamiento conforme a lo establecido en el artículo 30 del RGPD.
Una de las primeras cuestiones que nos podemos plantear es a que se refiere el RGPD con la llevanza de un Registro de Actividades de Tratamiento.
Aunque nos pueda parecer una nueva obligación este Registro que nos menciona el artículo 30 del RGPD, no es sino la evolución de la obligación de tener inscritos los ficheros en el Registro General de la Agencia Española de Protección de Datos que nos mencionaba el artículo 55 del Real Decreto 1720/2007 (en adelante, el Reglamento de desarrollo de la Ley Orgánica 15/1999 o más conocido por sus siglas RLOPD).
Es por ello que vamos a comparar lo que establece el artículo 55 del RLOPD y el artículo 30 del RGPD.
El artículo 55 del RLOPD en su apartado segundo establece:
Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.
Por otro lado, el artículo 30 del RGPD expresa:
Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
- a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
- b) los fines del tratamiento;
- c) una descripción de las categorías de interesados y de las categorías de datos personales;
- d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
- f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Según lo expuesto hasta ahora y debido a las similitudes de redacción de ambos artículos, podemos pensar que todos los responsables de ficheros que tengan inscritos sus ficheros de titularidad pública o privada actualmente en el Registro General de la Agencia Española de Protección de Datos estarían ya cumpliendo con esta nueva obligación que impone el RGPD.
Si es cierto que los responsables de ficheros que tengan inscritos sus ficheros en la actualidad tienen ya un paso muy adelantado para poder elaborar un correcto Registro de Actividades de Tratamiento y, en ese sentido, la Agencia Española de Protección de Datos confirmó a través de la publicación de la Guía del Reglamento General de Protección de Datos para responsables de tratamiento que facilitaría a los responsables de ficheros que pudieran tener acceso a toda la información acerca de sus propios ficheros o tratamientos notificados al Registro General mediante un sistema automatizado.
La mera obtención de una copia de las notificaciones de ficheros realizadas no es suficiente para poder elaborar un Registro de Actividades conforme a lo que establece el RGPD, dado que tendremos que establecer los plazos previstos para la supresión de determinadas categorías de datos o revisar los fines del tratamiento así como especificar los datos de contacto del Delegado de Protección de Datos designado.
En conclusión, para el cumplimiento de esta obligación de llevanza de Registro de Actividades de Tratamiento podemos tomar como modelo lo declarado en su día en los ficheros NOTA y presentados ante el Registro General de la Agencia Española de Protección de Datos pero necesitaremos el asesoramiento de profesionales expertos en Protección de Datos que adecuen nuestra documentación a lo establecido en el RGPD.
FERNANDO BENITEZ RODRIGUEZ – CONSULTOR JURIDICO EN SEGURIDAD DE LA INFORMACION PSN SERCON
Enlaces de interés:
