Como es bien sabido, con la aplicación del Reglamento de Protección de Datos (RGPD), desaparece la obligación de notificar los ficheros de datos a la Agencia Española de Protección de Datos (AEPD) para su inscripción en el Registro General de Protección de Datos, pero se exigen otras obligaciones de tipo organizativo. En particular, desde que el RGPD es aplicable, las empresas tienen –en la mayoría de casos– la obligación de elaborar un registro de actividades de tratamiento que deberá contener la información que señala el artículo 30 del RGPD, siendo este deber similar al que existía conforme al Real Decreto 1720/2007 de elaborar y llevar al día el conocido como “documento de medidas de seguridad”.
Este artículo del RGPD establece que: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Y, en resumidas cuentas, supone el deber de disponer de un registro con la siguiente información:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Así las cosas, la AEPD ha decidido publicar un ejemplo de cómo puede llevarse a cabo este registro, con el principal objetivo de ayudar a los diferentes responsables a cumplir con esta obligación establecida por el Reglamento.
En el registro publicado, la AEPD ha plasmado en detalle lo regulado en el artículo 30.1 del RGPD incluyendo, además, la base jurídica que justifica el tratamiento. En concreto, expone abiertamente los tratamientos de carácter personal que realiza la agencia, basándose en el registro de ficheros que titularizaba antes de la aplicación del RGPD y, añadiendo y modificando los nuevos tratamientos surgidos a partir de dicha normativa.
Aunque muchas de las actividades de tratamiento que lleva a cabo la propia AEPD y que se establecen en el ejemplo publicado pueden corresponderse con las que llevan a cabo varios responsables (“Registro de E/S, Gestión de RRHH, Gestión y control de biblioteca”, etc.), queda al arbitrio del responsable –según lo regulado y ya mencionado del artículo 30–, concluir la forma de llevar a cabo dicho registro.
Autores: Daniel Urbán y Cristina Clos
