informacionalconsumidor.org

¿Cómo hacer registro de actividades de tratamiento?

Tabla de contenidos

Si estás llevando los procesos de información en una empresa y quieres evitarte sanciones, ¡esto te interesa! En este artículo te enseñamos cómo hacer un registro de actividades de tratamiento para que cumplas con la reglamentación general de protección de datos. 

Es importante aclarar que el registro de actividades de tratamiento es un documento que debe tener cada empresa, en el que se especifica cómo circula la información y cómo se protege. 

En algunos casos, las empresas pequeñas también deben realizarlo, siempre y cuando procesen información sensible, como datos personales de clientes, proveedores o usuarios.

Por lo tanto, para hacer este registro de actividades, se deben tener claras las directrices del Reglamento General de la Protección de Datos, RGPD. El artículo 30 de dicha reglamentación estipula qué ítems debe contener ese registro de actividades.

Para iniciar el proceso de documentación, se debe determinar el nivel de seguridad y segregación de la información, teniendo en cuenta lo estipulado bajo la jurisprudencia.

De igual forma, se debe designar quiénes de la organización tienen acceso a esos datos, para que los usen de manera correcta y ética.

En segunda instancia, se deben crear los formatos que contendrán los campos de los responsables y encargados, como se verá más adelante.

Por último, el documento se guardará como un archivo indispensable, ya que puede ser requerido por entidades de control y verificación.  

¿Qué información debe contener el registro de actividades del tratamiento?

Debido a que se está recolectando información sensible y personal, se debe detallar quienes están a cargo de esa labor, y el fin de ello. Por tal motivo, el documento debe llevar los siguientes campos:

  • La información del responsable de la protección de datos, que generalmente se compone de su nombre y su contacto.
  • Una justificación que explique el por qué se realiza la recolección de los datos.
  • La información de las personas u organizaciones donde reposarán los datos recolectados.
  • De forma opcional, pero muy sugerida, se puede agregar las fechas de tiempo que se guardará la información, y las medidas de seguridad que se tienen para evitar la usurpación o el robo de esta. 

Registro de actividades del responsable del tratamiento

Este registro tiene un componente importante en temas de seguridad de la información. De hecho, dentro del documento que se crea para el responsable del tratamiento, se debe estipular cuáles son los mecanismos de protección y guardado de la información.

Estos mecanismos pueden incluir la encriptación, la verificación de datos o aspectos técnicos de tratamiento de datos. En la siguiente tabla, se aprecia un ejemplo de cómo podría ser este documento: 

ejemplo de mecanismos de registro de tratamiento

Registro de actividades del encargado del tratamiento

Para el encargado del tratamiento, el documento es muy similar al del responsable. Pero se diferencia en que este último tiene cláusulas de seguridad más estrictas, en tanto que el encargado sólo deberá estipular información de los fines de la recolección de datos.

Es decir, para el encargado no es estrictamente necesario los campos de medida de seguridad, ya que su rol no está en la parte de encriptación o niveles de acceso.

¿Quién está obligado a realizar el registro de actividades de tratamiento?

La Reglamentación General de Protección de Datos establece que toda entidad, institución u organización que recopile información personal, debe realizar este registro de actividades.

Anteriormente, lo que se estipulaba era que quienes recopilaran información sensible, la notificaran a la Agencia Española de Protección de Datos, AEPD.  

Con la nueva reglamentación, que se emitió en 2018, sólo se da la obligatoriedad de llevar el registro de actividades, en caso de que se haga un control por parte de entidades de verificación de cumplimiento de la norma. 

¿Cuándo es obligatorio el registro de actividades de tratamiento?

Este documento es fundamentalmente exigido a empresas de más de 250 empleados y procese largas cantidades de información.

Pero también deben realizarlo instituciones o entidades con menor número de empleados, siempre y cuando operen con datos personales de clientes de forma continua y reiterativa.

Esto se hace obligatorio especialmente cuando se pueden presentar riesgos para los usuarios o cuando procesan información de categorías especiales. Dichas categorías incluyen información de índole cultural, racial, religioso o relativo a la orientación sexual.

Modelos de registro de actividades de tratamiento del RGPD

No existe realmente un formato único para realizar el documento, pero sí se deben respetar los campos que se han explicado anteriormente.

Esto es, deben incluir siempre un responsable, una finalidad, y especificar qué tipo de información se recolecta, además de si dicha información va a ser cedida a terceros. Para guiarte, puedes descargar un modelo desde aquí.

Ejemplos de registro de actividades de tratamiento

El siguiente es un ejemplo del sistema de vigilancia de una entidad. Cabe anotar que se pueden anexar ítems como las transferencias de información internacionales, si los datos van a ser cedidos a una compañía extranjera:

datos de registro de actividades de tratamiento

Otro ejemplo es la información que se recolecta por el sistema de nóminas en las empresas. Al contener datos de identificación, estos también deben tener un proceso dentro del registro de actividades, para dar cumplimiento a la protección de datos. A continuación, puedes observar un modelo de documento:

modelo de tratamiento

¿Cómo organizar el registro de actividades del tratamiento?

Según el RGPD, hay dos formas establecidas para la organización de documentos y ficheros de registro de actividad de datos:

  • La primera toma como referencia los ficheros con los que ya cuenta la entidad o institución, con sus respectivos responsables y estipula las actividades que se realizan sobre todos los datos.
  • La segunda se trata de crear los registros desde cada área, partiendo de las actividades concretas de cada una de ellas.

En resumen, no hay que caer en sanciones sólo por no tener un registro de actividades acorde a lo que pide la ley. Si tienes muchas áreas que llevan diferentes procesos, lo mejor es tener un documento por cada una de ellas.

Si requieres una asesoría con mayor profundidad, para que tu empresa cumpla con todos los requisitos estipulados desde la jurisprudencia, hemos hecho un estudio con las mejores empresas de protección de datos para que puedas escoger la mejor para ti.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.