Javier Puyol, magistrado y letrado del Tribunal Constitucional en excedencia. Socio director de Puyol Abogados
    Javier Puyol, magistrado y letrado del Tribunal Constitucional en excedencia. Socio director de Puyol Abogados

El registro de actividades de tratamiento como un elemento de control interno

Javier Puyol / 14 ene 2021 / 13:46 H.

El registro de actividades de tratamiento constituye una medida de responsabilidad proactiva introducida por del RGPD y que obliga a las empresas a documentar los flujos de datos personales que ocurren dentro de la empresa u organización.

Dicho registro de actividades de tratamiento sustituyó a la obligación de proceder a la inscripción de ficheros -vigente con la anterior LOPD 15/1999- y ha establecido que cada responsable y, en su caso, el encargado del tratamiento, tienen que llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

Dicho registro, tal como se expone en el Considerando número 82 del RGPD, sirve para demostrar la conformidad con el Reglamento, de aquellos tratamientos de datos personales que lleve a cabo tanto el responsable, como el encargado del tratamiento, para lo cual deben mantener dichos registros de las actividades de tratamiento que desarrollen bajo su responsabilidad. Así, además, todos los responsables y encargados están obligados a cooperar con la autoridad de control respectiva, y, poner a su disposición, previa solicitud de la misma, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento que por los mismos se estén realizando.

Dicho registro tiene que contener la siguiente información:

a). El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos; b). Los fines del tratamiento; c). Una descripción de las categorías de interesados y de las categorías de datos personales; d). Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e). En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; f). Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; g). Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Para entender la importancia del control interno en las empresas, conviene empezar por entender el propósito del control interno, que tiene como objetivo resguardar los recursos de la empresa o negocio evitando pérdidas por fraude o negligencia, como así también detectar las desviaciones que se presenten en la empresa y que puedan afectar al cumplimiento de los objetivos de la organización.

La función de este registro de actividades de tratamiento se encuentra orientada a publicitar y hacer transparente todos los tratamientos llevados a cabo tanto por responsables como por encargados de tratamiento, a los efectos de que los interesados puedan conocer de primera mano, la existencia de los mismos, como un elemento de conocimiento de dichos tratamientos, y de control sobre sus datos personales. No obstante, se corre el riesgo de que dicho registro devenga completamente ineficaz, como así ocurrió con el registro de ficheros al que anteriormente se ha hecho alusión, y que el propio RGPD reconoció su eliminación, precisamente, por su falta de eficiencia. Este nuevo registro que están obligados a tener las empresas, organizaciones o personas físicas que, actuando como responsable, encargado o representante, traten datos personales y esos tratamientos queden bajo el ámbito de aplicación del RGPD que empleen a más de 250 trabajadores, salvo que el tratamiento:

a). pueda entrañar un riesgo para los derechos y libertades de los interesados, o; b). no sea ocasional, o; c). incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

Con independencia de la eficacia que dicho nuevo registro puede tener en la relación responsable/encargado de tratamiento con los interesados, a nivel interno para las empresas, constituye una magnífica oportunidad de contar con un elemento de control interno en el ámbito empresarial de la protección de datos de carácter personal.

El control interno en las empresas es una tarea ineludible para aquellos que desean lograr competitividad en sus negocios; ya que una empresa que implementa controles internos disminuye la ocurrencia de errores y fraude en la información financiera, los entes reguladores lo catalogarán como una empresa que cumple las leyes y regulaciones y a su vez generarán un impacto positivo en su negocio, pudiendo inclusive atraer a inversionistas que apuesten al crecimiento del mismo.

En este sentido, debe indicarse que toda vez que, a través de dicho registro, se permite tener un conocimiento exhaustivo de todos los tratamientos de datos personales, que se asumen como responsable o encargado de tratamiento dentro de una empresa.

Por ello, este registro puede constituir no sólo una obligación de transparencia frente a los titulares de los datos, sino un muy valioso instrumento, que permitir conocer y sobre todo controlar, todos y cada uno de los tratamientos existente en dicho marco empresarial.

Consecuentemente con ello, supone dotar a dicho registro de actividades de tratamiento, no solo de un contenido puramente formal, vinculado a las exigencias de transparencia empresarial, sino de una funcionalidad complementaria, vinculada a un reforzamiento de los controles sobre los tratamientos de datos personales que se estén llevando a cabo.