El nuevo Reglamento General de Protección de Datos obliga a que en determinados casos (empresas de más de 250 empleados por ejemplo), deba llevarse a cabo el Registro de Actividades de Tratamiento.
Tras la aplicación del nuevo Reglamento General de Protección de Datos desde el pasado 25 de mayo, ha desaparecido la obligación de notificar a la Agencia Española de Protección de Datos la existencia de ficheros de datos personales, como puede ser el que se crea por la instalación de un sistema de cámaras de seguridad.
El nuevo Reglamento General de Protección de Datos, consideró que esta obligación de dar de alta el fichero de datos en la Agencia Española de Protección de Datos no contribuía a mejorar la protección de los datos personales, por lo que se hacía necesario sustituirlo por un procedimiento alternativo más eficaz y enfocado a los datos personales que por diferentes factores (su naturaleza, volumen…) supongan un riesgo alto para la privacidad y derechos de los usuarios. Ante esa necesidad nació la nueva obligación de realizar el Registro de Actividades de Tratamiento.
¿Quién está obligado a realizar el Registro de Actividades de Tratamiento según el nuevo RGPD?
Tal y como indica el artículo 30 del Reglamento General de Protección de Datos, no tendrán la obligación de realizar el Registro de Actividades de Tratamiento las empresas de menos de 250 empleados salvo que cumpla una de estas tres condiciones:
-
El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y libertades del interesado.
-
El tratamiento incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
-
El tratamiento incluya datos relativos a condenas e infracciones penales.
¿Las Comunidades de Propietarios tienen la obligación de realizar el Registro de Actividades de Tratamiento?
El nuevo Reglamento General de Protección de Datos no alude a las Comunidades de Vecinos en su artículo 30, pero la Agencia Española de Protección de Datos sí que se adelantó a indicar en la publicación de su Guía para Administradores de Fincas que: “Estas medidas son obligatorias también para los administradores, como encargados del tratamiento”. Es decir, las obligaciones indicadas en los apartados 1 y 2 del artículo 30 del RGPD, se aplicarán también a las Comunidades de Vecinos.
¿Qué es el Registro de Actividades de Tratamiento en el RGPD?
El Registro de Actividades del Tratamiento, son un conjunto de medidas de carácter INTERNO que el responsable y/o el encargado de los tratamientos deberán impulsar y tener documentadas “a disposición” de la Agencia Española de Protección de Datos. El Registro de Actividades de Tratamiento, deberá contener la información señalada en el artículo 30 del citado Reglamento.
Con esta modificación, la figura del responsable del fichero pasará a llamarse “Responsable del Tratamiento de Datos”, pero sus obligaciones y responsabilidades continúan siendo las mismas.