GUÍA DE LA AUTORIDAD DE CONTROL IRLANDESA PARA REDACTAR Y MANTENER EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO CONFORME AL ARTÍCULO 30 GDPR
Documento original analizado:
https://www.dataprotection.ie/en/dpc-guidance/records-of-processing-article-30-guidance
Artículo 30: qué se requiere
Entre las acciones que establece al art. 57 GDPR que debe realizar una Autoridad de Control (AC) se incluyen la de concienciar a los Responsables (RT) y Encargados del tratamiento (ET) de sus obligaciones, y la de supervisar y hacer cumplir la aplicación del RGPD. En ese sentido la AC irlandesa, a principios de 2022, llevó a cabo una revisión de los registros de actividades de tratamiento (RAT) de treinta organizaciones, tanto del sector público como privado, para identificar problemas comunes que surgieran y posibles deficiencias con respecto a la redacción y mantenimiento de estos RAT. Como resultado de la revisión y los hallazgos realizados en el examen de los RAT y el análisis de esos hallazgos, la AC ha redactado una guía para ayudar a las organizaciones a cumplir con sus obligaciones del Artículo 30.
En primer lugar, la guía analiza los 5 apartados del artículo 30, definiendo:
- Ejemplos del contenido que se establece para los RAT de RT y de ET (art. 30.1 y 30.2 RGPD).
- El formato en que se pueden mantener (art. 30.3 RGPD). En la guía se indica que el RAT debe ser un registro independiente que la AC pueda solicitar y ver en un formato legible. Si una organización está utilizando software para registrar su RAT, debería poder generarse fácilmente un informe si se solicita.
- La disponibilidad a requerimiento de la AC que se debe tener del mismo (art. 30.4 RGPD).
- Las excepciones a la obligación de redactarlos para ciertas entidades siempre que se den las circunstancias contempladas en el art. 30.5 RGPD. En este caso, la AC irlandesa determina que, en la mayoría de los casos, las organizaciones no podrán acogerse a la excepción debido a los tratamientos no ocasionales o recurrentes que implican la confección de nóminas del personal que hay que realizar todos los meses, facturas a clientes que se hacen de forma habitual, etc.
A continuación, y del análisis de los RAT revisados, la AC detalla acciones que recomienda llevar a cabo a la hora de redactar los RAT y otras acciones que no se deben hacer.
Registro de Actividades de Tratamiento: qué se debe hacer
1. Desglosar el RAT con referencia a los departamentos de la organización.
- Los RAT deben ser claramente desglosados y detallados según las diferentes unidades de negocio, funciones o departamentos que componen cualquier organización, como RRHH, finanzas o marketing. Esto ayuda a garantizar que no se omitan actividades de tratamiento accidentalmente al completar el RAT.
2. El RAT como herramienta para acreditar el cumplimiento del principio de responsabilidad proactiva (art. 5.2 RGPD)
- Se deben incluir detalles específicos para cada categoría de interesado, categoría de datos personales o actividad de tratamiento.
3. Incluir información adicional relevante según corresponda.
- La AC identificó en la revisión, que muchas organizaciones incluyen en su RAT información adicional útil que no figura explícitamente en el artículo 30, por ejemplo:
- La base jurídica para el tratamiento del artículo 6.1.
- La Excepción del artículo 9.2 para el tratamiento de datos de categoría especial.
- Si se ha producido una infracción con respecto a una actividad de tratamiento en particular.
- El mecanismo de transferencia en el que se basa al enumerar las transferencias de terceros países.
- Calificaciones de riesgo que la organización puede haber asignado a cada actividad de tratamiento.
4. Aceptación del RAT en toda la organización.
- El RAT es una obligación de la que la organización en su conjunto debe ser responsable.
- Se recomienda que la responsabilidad de generar y mantener el RAT no recaiga únicamente en el DPO.
- Si es únicamente el DPO de una organización el que genera y mantiene el RAT, es posible que se pasen por alto las posibles actividades de tratamiento, o que el RAT se convierta en un ejercicio de cumplimiento de casillas marcadas.
- Se sugiere que el proceso pueda ser dirigido por el DPO, con diferentes áreas de la organización contribuyendo al mismo.
- Se proponen diferentes formas en que las organizaciones pueden obtener la aceptación de diferentes áreas de su organización al completar el RAT.
5. El RAT debe ser un documento vivo y dinámico, que se actualiza continuamente para reflejar la posición actual de la organización con respecto a sus tratamientos de datos personales. Para lograrlo se recomienda:
- Llevar a cabo revisiones periódicas del RAT y cualquier actualización necesaria.
- Un RAT electrónico (en lugar de papel). Es probable que sea más adecuado para la mayoría de las organizaciones, de modo que pueda editarse y guardarse fácilmente.
- Los departamentos deben ser conscientes de que los nuevos productos o servicios que requieren el tratamiento de datos personales deben agregarse al RAT a medida que se implementan.
- Se recomienda que las actividades de tratamiento que ya no se lleven a cabo se marquen como tales o se eliminen del RAT activo. Sin embargo, el mantenimiento de un archivo de las actividades de tratamiento obsoletas debe conservarse con fines de rendición de cuentas si la eliminación es la opción preferida dentro de la organización.
Registro de Actividades de Tratamiento: qué no se debe hacer
1. No actualizar el RAT.
- El RAT debe mantenerse como un documento vivo y dinámico.
- Debe mantenerse como para que esté «listo para cumplir su función» en cualquier momento, por ejemplo, ante el requerimiento de la AC en un plazo de 10 días.
2. No detallar las actividades adecuadamente
- Por ejemplo, en la descripción de las medidas de seguridad técnicas y organizativas, no es suficiente con informar “se aplican medidas que garantizan la seguridad adecuada’ o ‘seguridad adecuada”.
- El RGPD establece que, cuando sea posible, se debe incluir una descripción general de las medidas de seguridad técnicas y organizativas implementadas en una organización.
- La AC ha notado una tendencia de que las medidas de seguridad técnicas y organizativas a menudo no se describen en detalle en los RAT de muchas organizaciones.
- Se recomienda que las organizaciones proporcionen una descripción general de las medidas técnicas y organizativas implementadas en su RAT.
3. No redactar o mantener un RAT que no se explique por sí mismo.
- Para que sea adecuado para su fin, el RAT debe ser un documento completo e independiente que enumere claramente toda la información requerida por el artículo 30, de forma que pueda servir para el seguimiento de las operaciones de tratamiento.
4. Se deben evitar las siguientes prácticas:
- Hipervínculos de documentos en RAT, que no son accesibles cuando se hace clic en ellos.
- En lugar de tener un documento completo de RAT, hipervínculo o referencia a varios documentos o fuentes diferentes para cumplir con los requisitos del Artículo 30; el RAT no debe ser excesivamente confuso, ya que esto va en contra del propósito del documento de ayudar a la AC a llevar a cabo sus funciones.
- La AC no debería tener dificultades para acceder a la información establecida en el artículo 30 del RGPD.
- Usar siglas que no están definidas, que pueden ser términos comunes dentro de la organización en cuestión pero que no tienen un significado obvio para la AC. Como se indicó, los redactores deben tener en cuenta que la AC, como lector externo, debe poder comprender completamente el documento.
- Si una organización no puede documentar su RAT, cuestiona su comprensión de los fines y los medios para los cuales la organización trata y conserva los datos personales.
Ejemplos de RAT
Por último, la AC irlandesa en la Guía, aunque advierte que no es práctico proporcionar un ejemplo completo de un RAT proporciona en la misma algunos diseños posibles.