El considerando 82 del RGPD establece que la herramienta para poder demostrar su cumplimiento es mantener un registro de actividades de tratamiento, al tiempo que aclara que todos los responsables o encargados del tratamiento están obligados a cooperar con la correspondiente autoridad de control y poner a su disposición este registro cuando le fuera solicitado. Sería entonces razonable pensar, que el registro de actividades de tratamiento es un documento obligatorio para cualquier empresa que realice tratamiento de datos personales sujetos a protección.
Es cierto que el propio RGPD hace una consideración previa (considerando 13) en el sentido de facilitar la gestión de ese registro para microempresas y PyMEs, anunciando que el RGPD incluye excepciones para organizaciones con menos de 250 empleados, instando a las autoridades de control a tener en cuenta las peculiaridades de las empresas pequeñas.
Por otra parte, la “Guía del usuario sobre la definición del concepto de pyme” elaborada por la Comisión Europea, define como empresa a “toda entidad, independientemente de su forma jurídica, que ejerza una actividad económica”. De este modo, sea cual sea nuestra forma jurídica, facturación o tamaño, en el momento en que vendamos algún producto o servicio y establezcamos un precio, estaremos obligados a mantener un registro de actividades de tratamiento, siempre que esta actividad conlleve algún tipo de gestión de datos personales.
Esta obligación vuelve a hacerse patente en el articulado del RGPD. El Artículo 30 se refiere expresamente al Registro de actividades de tratamiento, recalcando que todo responsable deberá llevar un registro de las actividades de tratamiento que se realicen bajo su responsabilidad, detallando que deberá contener la siguiente información:
- Nombre y datos de contacto del responsable del tratamiento y del DPD, cuando sea el caso.
- Fines del tratamiento.
- Descripción de las categorías de interesados y de datos personales.
- Categorías de destinatarios de datos personales, cuando sea el caso.
- La existencia de transferencias internacionales de datos personales.
- Los plazos previstos para la supresión de las diferentes categorías de datos.
- Descripción de las medidas de seguridad que se adopten.
A continuación (artículo 31.5), indica que las obligaciones anteriores (detalladas en el punto 1 para los responsables del tratamiento y en el punto 2 para los encargados) no se aplicarán a ninguna empresa u organización de menos de 250 personas, salvo que se realicen tratamientos que puedan entrañar riesgos para los derechos y libertades de los interesados, se trate de un tratamiento continuado (no ocasional) o se traten datos de categorías especiales o relativos a condenas e infracciones penales.
Por tanto, deberemos interpretar que todas las organizaciones que engloben a más de 250 personas, deberán mantener un registro de actividades de tratamiento.
Las organizaciones más pequeñas, tendrán la obligación de mantenerlo cuando:
- Lleven a cabo un tratamiento no ocasional de datos personales.
- Realicen un tratamiento de datos personales que pueda entrañar algún tipo de riesgo para los derechos y libertades de los interesados. Riesgo, que deberán evaluar, por tanto, previamente.
- Se traten datos incluidos en las categorías especiales del artículo 9 o relativos a condenas e infracciones penales (artículo 10).
En mi opinión, esto deja fuera de la obligación de mantener un registro de actividades de tratamiento a muy pocas organizaciones que recojan y realicen algún tipo de gestión de datos.
Además, aun cuando que entendiéramos que nuestra organización puede acogerse a las excepciones establecidas y decidiéramos no mantener un registro de actividades de tratamiento, ¿cómo acreditaríamos ante la AEPD que cumplimos con el RGPD, si el propio Reglamento establece expresamente que la herramienta que nos va a permitir hacerlo es el registro de actividades de tratamiento?
Mi conclusión y consejo es que si nuestra actividad empresarial nos obliga a realizar algún tipo de tratamiento de datos personales, mantengamos un registro de actividades de tratamiento que contenga los requisitos mínimos establecidos en el artículo 30 del RGPD. Sobre todo, teniendo en cuenta que cumplir con las exigencias mínimas de contenido no debe suponernos ningún esfuerzo, ya que la información que se propone deberemos facilitarla siempre a los interesados en el momento de registrar sus datos personales.
Como siempre, os dejo algunos enlaces de interés:
0 comentarios