2.7 Registro de actividades
Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente: Respecto a los responsables:
- el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
- los fines del tratamiento;
- una descripción de las categorías de interesados y de las categorías de datos personales;
- las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
- cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Respecto a los encargados:
- el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
- las categorías de tratamientos efectuados por cuenta de cada responsable;
- en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
- cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
Por otra parte, están exentas de configurar este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
No obstante, hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que viene a implicar que en la práctica, que la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras estarán obligadas a llevar un registro de actividades de tratamiento.
Por último, para organizar este registro de actividades de tratamiento se puede:
- Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
- Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, "gestión de clientes", "gestión contable" o "gestión de recursos humanos y nóminas") o con arreglo a otros criterios distintos.