Crear un registro de actividades de tratamiento: qué incluir y qué no

Toda pyme con empleados necesita un registro de actividades de tratamiento. La autoridad de protección de datos lo solicita en casi cualquier inspección. Aquí tienes la plantilla y lo que debe contener.

El registro de actividades de tratamiento (artículo 30 del GDPR) es el documento central. Cuando la autoridad de control realiza una inspección, esta suele ser la primera pregunta: «muéstreme su registro».

Por cada actividad de tratamiento se documenta

• Finalidad (p. ej., «administración de personal»).
• Categorías de interesados (empleados, candidatos, clientes).
• Categorías de datos personales (nombre, correo electrónico, número de identificación, cuenta bancaria).
• Base jurídica (contrato, consentimiento, interés legítimo, obligación legal).
• Destinatarios (quién recibe los datos: roles internos, terceros externos).
• Plazo de conservación (véase plazos de conservación).
• Medidas de seguridad (técnicas y organizativas).
• En su caso: transferencias fuera del EEE.

Ejemplos de actividades de tratamiento en una pyme

• Administración de personal.
• Expedientes de clientes / CRM.
• Administración de facturación.
• Lista de boletín informativo.
• Datos de visitantes del sitio web (analítica).
• Cookies / seguimiento.
• Videovigilancia en la oficina.
• Administración de candidatos.

Formato

Una hoja de cálculo o una base de datos en Notion es perfectamente válida. No existe ningún requisito sobre herramientas específicas. Centralizado, actualizado y con una fila por categoría.

Mantenimiento

Revisión rápida cada trimestre: ¿se han añadido nuevas actividades de tratamiento? ¿Se ha interrumpido alguna? Revisión completa una vez al año.

Véase también: pilar GDPR, acuerdos de encargado de tratamiento.