Pregunta

¿Qué es un registro de actividades de tratamiento?

Łukasz Bonczol
18/8/2022
Las disposiciones del RGPD imponen a los responsables del tratamiento de datos personales la obligación de llevar un registro de las actividades de tratamiento. Se trata de documentación que incluye una lista de las actividades utilizadas por una organización para tratar datos personales. Qué debe contener dicho registro y quién exactamente está obligado a llevarlo?
Descargar demostración gratuita

¿Qué son las actividades de tratamiento? ¿Quién necesita un registro de actividades de tratamiento?

El RGPD no especifica el término "actividad de tratamiento", por lo que no está del todo claro qué debe documentarse en el registro. Puede entenderse como un conjunto de pasos para alcanzar un objetivo específico en la empresa. Tanto el tipo de actividades como su nivel de detalle dependerán en gran medida del sector y el perfil de la organización.

Algunos ejemplos de actividades de procesamiento son, entre otros:

  • El uso de programas informáticos que recopilan y almacenan datos personales (por ejemplo, el sistema de registro del tiempo de trabajo, las tarjetas electrónicas de acceso o la videovigilancia).
  • Contratación de empleados
  • Gestión de la formación
  • Contabilidad de nóminas
  • Envío de boletines informativos a los clientes

Con respecto a este tipo de actividad, el responsable del tratamiento de datos personales debe incluir en el registro información como:

  • El nombre y los datos de contacto del administrador y del inspector de datos personales
  • Fines del tratamiento de datos personales
  • Descripción de las categorías de interesados
  • Categorías de destinatarios con los que se comparten los datos
  • Posible información sobre la transferencia de datos a un tercer país o a una organización internacional
  • Fechas previstas de supresión de las categorías de datos personales
  • Descripción de las medidas de seguridad aplicadas a los datos personales tratados

Aunque el registro de actividades de tratamiento es un documento interno, debe ser conservado por cualquier organización con al menos 250 empleados. Las empresas más pequeñas también pueden estar obligadas a hacerlo, siempre que:

  • El tratamiento de datos personales del que es responsable la organización pueda suponer una amenaza para los derechos y libertades de los interesados
  • El tratamiento de datos por parte de la organización sea permanente y no ocasional,
  • La organización trate categorías especiales de datos personales (por ejemplo, relacionados con delitos penales o historiales médicos)

También debe recordar que el registro de las actividades de tratamiento debe incluir todas las imágenes y vídeos en los que haya caras visibles de personas con su empresa y cerca de ella (por ejemplo, de videovigilancia). Con Gallio, puede anonimizar rápidamente cualquier archivo de vídeo sin necesidad de compartir datos con terceros ni subirlos a ningún sitio en línea. Además, el proceso no afecta a la calidad de sus archivos de vídeo y ofrece una precisión del 98%.

En resumen, el registro de las actividades de tratamiento es uno de los elementos básicos de la seguridad de los datos personales en una organización. Le permite gestionar de forma cómoda y eficaz sus obligaciones en virtud del RGPD. También facilita la verificación continua de los procesos que implican datos personales en su empresa, tanto en términos legales como empresariales.

Łukasz Bonczol

Łukasz Bonczol

Łukasz Bonczol, Co-Founder of Gallio PRO, explores how new technologies affect society, politics, law, and ethics. He holds a Ph.D. in Political Science from the University of Wrocław and an MBA from the Wrocław University of Economics. He is interested in how technology has influenced our history and is shaping our future.