Como ya explicamos en nuestro artículo “Adiós a la inscripción de ficheros de datos personales”, el nuevo Reglamento General de Protección de datos (en adelante, “RGPD”), que será de aplicación a partir del próximo 25 de mayo de 2018, elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos (en adelante, “AEPD”). En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.
Según el artículo 30 del RGPD, tendrán obligación de contar con un registro de actividades del tratamiento todas aquellas organizaciones responsables del tratamiento que emplee a más de 250 personas, a menos que:
El registro de actividades del tratamiento del responsable deberá contener la información siguiente:
En caso de que sea el encargado del tratamiento el que deba llevar un registro de actividades del tratamiento, éste deberá contener:
El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.
En la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento que publicó la Agencia Española de Protección de datos hace unos meses, se apuntaba que el responsable tendría dos posibilidades a la hora de articular el registro de actividades del tratamiento:
Del mismo modo, como anunciaban en la mencionada guía que la AEPD ha dispuesto una herramienta para facilitar a los responsables un mecanismo para obtener de forma automatizada toda la información sobre sus propios ficheros o tratamientos que hayan notificado al Registro General que puede servir a los responsables como base para llevar a cabo el registro de actividades del tratamiento.
Como hemos visto, habrá un elevado número de organizaciones que no se encontrarán obligadas por el RGPD a llevar a cabo el registro de actividades del tratamiento. Sin embargo, no se trata ya solo de una práctica muy recomendable, sino de una herramienta que va a permitir al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa, ya que, recordemos, el RGPD trae como novedad el principio de responsabilidad proactiva, por el cual, el responsable del tratamiento no solo deberá cumplir con la normativa, sino que deberá ser capaz de demostrarlo.
En este sentido apunta también la redacción del considerando 82 del RGPD:
“Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”
Por último, apuntar que estamos encantados de ayudar a cualquier organización a adaptarse a lo dispuesto en el RGPD.
Victor Méndez - 3 de enero de 2018