El Registro del tratamiento de datos en el nuevo RGPD: ¿Quién, qué, cómo y por qué?

Se ha venido hablando de este tema durante semanas, incluso meses: el Reglamento General de Protección de Datos de carácter personal (“RGPD“). Su aplicación es inmediata y entrará oficialmente en vigor el 25 de mayo de 2018. Entre las diversas novedades de este reglamento europeo figura la obligación para el procesador y el administrador de datos de mantener un registro de actividades de tratamiento de datos.

¿Por qué es indispensable mantener un registro de tratamiento de datos?

Primero porque el mantenimiento de un registro sustituye la obligación de notificarlo previamente ante la autoridad de control (Agencia Española de Protección de Datos (AEPD)), lo cual generaría una carga administrativa considerable.

Según el RGPD, el mantenimiento adecuado del registro permitirá al administrador o el procesador de los datos demostrar, durante un control eventual, que sus procesos de tratamiento de datos cumplen con los principios establecidos por el reglamento.

A partir de ahora, se hará hincapié en la responsabilidad de la entidad procesadora (incluso los procesadores de datos subcontratados) que, al mantener estos registros correctamente, tendrán una visión general de sus operaciones de procesamiento, lo que les permitirá controlar y garantizar su propio cumplimiento de las nuevas obligaciones legales.

El registro de las actividades de proceso es, por lo tanto, una herramienta valiosa para garantizar el cumplimiento y, en un sentido general, un buen punto de partida para empezar a hacerlo.

¿Quién debe cumplir con la obligación de mantener un registro de procesamiento de datos?

En principio, la obligación de mantener un registro de tratamientos concierne a todos los responsables de tratamiento (o llegado el caso, sus representantes) y sus procesadores de datos subcontratados. No obstante, el reglamento contempla una exención que, en la práctica, es muy limitada. Las empresas u organizaciones con menos de 250 empleados no están obligadas a mantener este registro, excepto en los siguientes casos:

• Que el tratamiento de datos no sea ocasional, sino regular. Por ejemplo, según las recientes recomendaciones de la Autoridad belga de protección de datos, el término “regular” abarca las operaciones de procesamiento de datos vinculadas a la gestión de clientes, la gestión de proveedores e incluso la gestión de personal (recursos humanos).
• Que el tratamiento pueda implicar un riesgo para los derechos y libertades de las personas cuyos datos sean tratados.
• Que el tratamiento de datos implique datos sensibles (tales como información médica, orientación sexual, creencias religiosas, filosóficas, políticas, etc.).
• Que el tratamiento implique datos judiciales (condenas penales, etc.).

En la gran mayoría de los casos, el mantenimiento de un registro de tratamientos es de cumplimiento obligatorio. En cualquier caso, es muy recomendable hacerlo, ya que estos registros resultan útiles para el proceso de cumplimiento de todas las obligaciones legales.

¿Qué se debe indicar en el registro de tratamiento de datos?

La información que se debe mostrar en el registro varía según como se actúe, si es en calidad de “responsable de tratamiento de datos” o como “procesador” subcontratado.

Si se es “responsable de tratamiento de datos conjunto”, el registro debe determinar, como mínimo, la siguiente información:

• El nombre y los datos de contacto, así como los del responsable de la protección de datos (RPD).
• Una descripción de los propósitos del tratamiento, es decir, los objetivos por los cuales los datos son tratados (gestión de clientes, gestión del personal, etc.).
• Una descripción de las categorías de los datos tratados (datos de identificación, datos financieros, datos de localización geográfica, etc.).
• Una descripción de las categorías de las personas cuyos datos son tratados (clientes, visitas del sitio web, clientes potenciales, empleados, proveedores, menores de edad, etc.).
• Los destinatarios a quienes se entregó o entregará los datos (incluyendo los destinatarios ubicados en países terceros que no pertenecen a la UE).
• Las transferencias eventuales de datos a terceros países, así como la documentación que acredite la existencia de garantías adecuadas en torno a cada transferencia.
• El periodo de conservación para cada categoría de datos.
• Una descripción general de las medidas técnicas y organizacionales de seguridad.

Si se es “procesador de datos”, el registro deberá incluir, como mínimo, la siguiente información:

• El nombre y los datos de contacto, así como los del responsable del tratamiento al cual usted representa, y, cuando proceda, los datos del responsable de la protección de datos (RPD).
• Las categorías de tratamiento realizado en representación del administrador,
• Las transferencias eventuales de datos a terceros países y la documentación que acredite la existencia de garantías adecuadas.
• Una descripción general de las medidas técnicas y organizacionales de seguridad.

Esto constituye la información mínima que se debe incluir, por lo que es totalmente posible incluir otros elementos (como la base legal, el resultado del análisis de impacto (si es necesario), etc.).

En la práctica, ¿cómo se mantiene el registro?

Hasta el momento, no hay ningún modelo estándar obligatorio, de modo que se es libre de elegir cómo mantener el registro. Aparte, deben presentarse por escrito y deben incluir un formulario electrónico. Deben ser claros, comprensibles y legibles.

¿Qué riesgos se corren si no se mantiene correctamente el registro de tratamientos?

Aparte de las facultades como autoridad supervisora (emitir advertencias, limitar temporal o permanentemente el tratamiento de datos, retirar la certificación, etc.), ésta puede imponer sanciónes administrativas que puede alcanzar los 10.000 € o hasta el 2 % de la facturación anual.