GDPR: la AEPD publica su propio registro de actividades de tratamiento

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Esta nueva iniciativa de la Agencia es un instrumento más ayudar a los responsables a encontrar respuesta a la búsqueda por parte de las empresas de un ejemplo de cómo cumplir con la obligación del registro de actividades de tratamiento, aunque el principio de responsabilidad activa recogido en GDPR

El artículo 30 del Reglamento establece que “cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. La realización de este registro servirá a cada responsable o encargado para responder a lo expuesto en el considerando 82, que afirma que “todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.

Con este objetivo, la AEPD ha puesto a disposición de los responsables la herramienta FACILITA_RGPD que construye, entre otros, el registro de actividades para tratamientos de escaso riesgo para empresas y organizaciones privadas.

Si bien en este momento no existe ninguna previsión legal que obligue a responsables y encargados de tratamiento a publicar su registro de actividades, con el objetivo de mostrar cómo construirlo en caso de tratamientos más complejos o para la administración pública, la AEPD ha elaborado y publicado el suyo, que refleja los tratamientos de datos de carácter personal que realiza.

Para ello, ha partido del registro de ficheros que había definido a lo largo de sus 25 años de actividad, revisando y agregando aquellos tratamientos que podrían responder a la misma base jurídica, colectivo y finalidad y añadiendo, en su caso, aquellos nuevos tratamientos derivados de las obligaciones que el Reglamento General de Protección de Datos impone.

El registro de actividades publicado, y que responde al detalle descrito en el artículo 30.1 del RGPD, además de incorporar la base jurídica que legitima el tratamiento, pretende mostrar de modo transparente cuáles son los tratamientos. La AEPD ha descrito hasta el momento veintiuna actividades de tratamiento, muchas de las cuales  pueden corresponder con las que muchos responsables realizan: “Registro de E/S”, “Gestión de RRHH”, “Gestión y control de biblioteca”, “Transparencia: acceso a la información”, “Seguridad”, “Quejas y reclamaciones”, “Gestión presupuestaria y económica”. Estas actividades pueden reconocerse en otros responsables, aunque corresponde a cada uno decidir el nivel de agregación o desagregación que impone a su registro de actividades.