Ejemplos del registro de actividades de tratamiento

El Registro de actividades de tratamiento es un documento en el que aparecen listados todos los tratamientos de datos realizados por parte de una entidad, en la que se incluye una descripción detallada de ellos. Este documento debe guardarse en la empresa y estar siempre actualizado. Además, debe estar a disposición de la Autoridad de control, si esta lo solicita.

Quién está obligado a realizar un registro de actividades

Están obligadas a llevar un registro de actividades de tratamientos toda persona física, organización o empresa que, actuando como representante, responsable o encargado; se encarguen del tratamiento de datos personales, los cuales queden bajo el ámbito de aplicación del Reglamento General de Protección de datos (RGPD).

En el caso de que tengas que cumplir con el RGPD y ese una de estas personas, estarás obligado a mantener un registro de actividades, salvo que puedas acogerte a la excepción recogida en el artículo 30.5. Pueden acogerse a ella aquellas empresas que tengan menos de 250 trabajadores, siempre y cuando el tratamiento cumpla con estas características:

• No debe ser ocasional.
• Pueda entrañar un riesgo para las libertades y los derechos de los interesados.
• Incluya categorías especiales de datos personales; o bien datos personales relativos a condenas así como para infracciones de carácter penal.

No obstante, dadas las condiciones que se encuentran establecidas en el RGPD, parece muy complicado poder acogerse a la misma, por lo que la gran mayoría de las empresas tendrán que llevar a cabo un registro de este tipo.

Contenido del registro de actividades

El registro de actividades de tratamiento debe contener una descripción de cada uno de los tratamientos que son llevados a cabo por cada empresa u organización. Para ello debe responder con todos los puntos que se encuentran reflejados en el RGPD.

Respecto a la información a incluir, es suficiente con que recoja una información mínima pero concisa, pudiendo la empresa incluir más o menos información. En cualquier caso, es importante que se incluyan todos los campos requeridos y que sean completados con una información veraz.

En el registro de actividades debe figurar la siguiente información:

• Identificación y datos del responsable del tratamiento de los datos, así como, en el caso de existir; del representante, del corresponsable y del delegado de protección de datos
• Finalidad del tratamiento
• Descripción de las categorías de destinatarios
• Transferencias internacionales y cesiones de datos
• Ciclo de vida de la actividad de tratamiento
• Medidas de seguridad

EJEMPLO

Ejemplo de registro de actividades de tratamiento: Clínica Médica

• RESPONSABLE DEL TRATAMIENTO
  • Datos identificativos: Clínica Médica Vistalegre – CIF: B00000001 – c/Avenida de Lugo, s/n, 33401 – Avilés – Asturias
  • Datos identificativos del Delegado de Protección de datos: No hay
• DESCRIPCIÓN DE LA ACTIVIDAD DE TRATAMIENTO
  • Actividad de tratamiento: Gestión de pacientes
  • Finalidad: Gestión de los diferentes servicios que se prestan a los pacientes
  • Interesados: Pacientes
  • Categorías de datos: datos identificativos, datos de salud, datos financieros.
• TRANSFERENCIAS INTERNACIONALES Y CESIONES
  • Cesiones: Aseguradora, empresa informática, gestoría, autónomos
  • Transferencias previstas: No se llevan a cabo transferencias a nivel internacional
  • Periodo de conservación: 5 años
• CICLO DE VIDA DE LA ACTIVIDAD DE LOS DATOS
  • CAPTURA DE DATOS
    • Actividades del proceso: Formulario cumplimentado por cada paciente en el centro.
    • Datos tratados: Datos identificativos, datos de salud, datos financieros.
    • Intervinientes: Empleados y pacientes
    • Tecnologías: Sistemas informáticos
  • ALMACENAMIENTO DE LOS DATOS
    • Actividades del proceso: Datos almacenados en el sistema informático interno
    • Datos tratados: Datos identificativos, datos de salud, datos financieros.
    • Intervinientes: Empleados
    • Tecnologías: Software
  • USO Y TRATAMIENTO DE LOS DATOS
    • Actividades del proceso: Gestión de servicios, facturación, etcétera.
    • Datos tratados: Datos identificativos, datos de salud, datos financieros.
    • Intervinientes: Empleados y autónomos
    • Tecnologías: Sistemas informáticos, soportes físicos
  • TRANSFERENCIAS Y CESIONES PREVISTAS
    • Actividades del proceso: Prestación de servicios médicos, gestión de facturas
    • Datos tratados: Datos identificativos, datos de salud, datos financieros.
    • Intervinientes: Empleados y autónomos
    • Tecnologías: Sistemas informáticos, soportes físicos
  • DESTRUCCIÓN
    • Actividades del proceso: Destrucción de información por empresa externa
    • Datos tratados: Datos identificativos, datos de salud, datos financieros.
    • Intervinientes: Empleados
    • Tecnologías: Sistemas destructores de papel y discos duros
• MEDIDAS DE SEGURIDAD DEL RESPONSABLE DE TRATAMIENTO
  • MEDIDAS DE SEGURIDAD: Cifrado de datos personales; proceso de verificación y medidas técnicas y organizativas; restauración del acceso a datos personales de forma rápida, etcétera.
• ENCARGADO DEL TRATAMIENTO (Rellenar la misma información para cada encargado del tratamiento)
  • DATOS DEL ENCARGADO DEL TRATAMIENTO
    • Encargado del tratamiento: Gestoría Avilés, CIF – B00000002 – C/Avda. Coruña 4, 33400 – Avilés – Asturias
    • Delegado de Protección de Datos: No hay
  • DESCRIPCIÓN DE LOS TRATAMIENTOS DE DATOS
    • Responsable del tratamiento: Clínica Médica Vistalegre – CIF: B00000001 – c/Avenida de Lugo, s/n, 33401 – Avilés – Asturias
    • Categorías de tratamiento: Datos identificativos de empleados y pacientes // Datos financieros de empleados y pacientes
  • TRANSFERENCIAS Y CESIONES
    • Transferencias y cesiones previstas: No se hacen
  • MEDIDAS DE SEGURIDAD DEL ENCARGADO DEL TRATAMIENTO
    • Medidas de seguridad: Cifrado de datos personales; proceso de verificación y medidas técnicas y organizativas; restauración del acceso a datos personales de forma rápida, etcétera.