Registro de actividades de tratamiento: ¿cómo documentar archivo y destrucción?
El artículo 30 del RGPD exige a toda organización con más de 250 empleados, y en la práctica a casi cualquiera que trate datos personales de forma estructural, un registro de actividades de tratamiento. Esa obligación abarca la gestión de archivos y la destrucción, porque conservar es una forma de tratamiento. Pero ¿qué debe figurar exactamente en ese registro sobre archivo y destrucción? Este artículo ofrece una plantilla práctica sin burocracia innecesaria.
Lo que exige el RGPD
El artículo 30, apartado 1, menciona de forma explícita.
- Nombre y datos de contacto del responsable del tratamiento.
- Fines del tratamiento.
- Categorías de interesados y de datos personales.
- Categorías de destinatarios.
- Eventuales transferencias a terceros países.
- Plazos previstos para la supresión.
- Descripción general de las medidas técnicas y organizativas de seguridad.
La línea en negrita es donde el archivo y la destrucción confluyen directamente. Un registro sin plazo de conservación está incompleto.
Por tratamiento: ¿qué anotas sobre el archivo?
Por cada tratamiento (administración de clientes, expediente de RR. HH., candidatos, etc.) registras.
- Plazo de conservación: ¿cuánto tiempo lo guardas y con base en qué ley o fundamento? Remítete a la chuleta de plazos de conservación del RGPD para las reglas estándar.
- Disparador del plazo: desde el fin de la relación laboral, la fecha de la última factura, la firma de la escritura, etc.
- Ubicación del archivo: oficina, depósito de archivo externo, servicio en la nube.
- Acceso: ¿quién puede acceder?
- Método de destrucción: triturado DIN P-5, borrado criptográfico u otro.
- Frecuencia de destrucción: anual, trimestral, ad hoc.
General: la parte de seguridad
Junto a la fila por tratamiento corresponde una política general de seguridad en el registro que mencione, entre otras cosas.
- Seguridad física del archivo: armarios cerrados, control de acceso, alarma local.
- Procedimiento de destrucción: quién designa los documentos, quién firma el certificado, quién conserva la prueba.
- Contrato de encargado con el proveedor de destrucción: lee la checklist del contrato de encargado para saber qué debe incluir.
- Plazo de conservación de los certificados: recomendamos 5 años.
Plantilla: una fila del registro
| Campo | Valor de ejemplo |
|---|---|
| Tratamiento | Administración de clientes de ventas B2B |
| Fin | Ejecución del contrato, obligación fiscal de conservación |
| Categorías de datos | Nombre y dirección, correo, teléfono, datos de factura |
| Plazo de conservación | 7 años tras la última factura |
| Base legal | AWR art. 52 |
| Ubicación | Nube (Exact Online) más copia en papel en el armario de archivo |
| Acceso | Contabilidad, dirección |
| Método de destrucción | Nube: borrado criptográfico. Papel: triturado móvil DIN P-5. |
| Frecuencia | Anual tras el 31 de marzo (tras el cierre del ejercicio) |
¿Cómo te refieres a tu proveedor de destrucción?
En «categorías de destinatarios» mencionas al proveedor de servicios de destrucción. Al hacerlo te remites al contrato de encargado que has firmado con ese proveedor. Lee nuestra checklist del contrato de encargado para saber qué debe incluir.
El proveedor de destrucción es un encargado del tratamiento según el art. 28 del RGPD. Tiene acceso de corta duración a datos personales (en cajas que esperan su destrucción). A eso le corresponde un contrato de encargado.
Conserva la prueba de destrucción
El registro en sí no es prueba de que la destrucción se produjo. Para eso necesitas el certificado. Conserva cada certificado.
- Al menos 5 años tras la fecha de destrucción.
- En un lugar localizable (carpeta de compliance, unidad compartida, sistema de contratos).
- Con una referencia desde el registro a la ubicación del certificado.
Para los requisitos generales del certificado, consulta el certificado de destrucción.
¿Con qué frecuencia actualizas el registro?
- Anual: revisión estándar, idealmente junto con el momento de auditoría.
- Con cada nuevo tratamiento: añadir una fila nueva.
- Ante un cambio de proveedor de destrucción: actualizar los datos de contacto.
- Ante un cambio de plazo de conservación: por ejemplo, tras un cambio legal específico del sector.
Errores frecuentes
- «Plazo de conservación: para siempre». No es un plazo válido bajo el RGPD.
- «Plazo de conservación: tanto como haga falta». Demasiado vago. La AP quiere un plazo explícito.
- No incluir al proveedor de destrucción. Es un encargado, debe figurar.
- Mezclar distintos plazos. Cada categoría tiene su propio plazo, nada de «7 años para todo».
- Sin estrategia de conservación de certificados. Conserva la prueba o será como si no hubiera pasado nada.
¿Para quién es obligatorio?
En sentido estricto el artículo 30 rige para organizaciones con más de 250 empleados. En la práctica la AP usa el registro como piedra de toque en casi cualquier organización que trate datos personales con regularidad. No tener registro porque solo tienes «50 empleados» es técnicamente defendible pero flojo ante una visita de la AP. Mejor un registro proporcional. Una hoja de cálculo sencilla con las filas descritas arriba.
Ejemplos por sector
Para tratamientos específicos de cada sector, consulta nuestros artículos sobre.
- Pymes y destrucción de documentos bajo el RGPD
- WGBO 20 años para los historiales de pacientes
- Wwft 5 años para la diligencia debida del cliente
- Wft 5 años para los expedientes financieros
Contrato de encargado y certificado de destrucción en un solo proveedor.
Entregamos de serie un contrato de encargado bajo el art. 28 del RGPD y certificados por encargo. Listos para enlazar con tu registro.
Solicita un presupuesto¿Montas un registro por primera vez? Escríbenos a través de desnipperaar.nl. Compartimos con gusto una fila de plantilla para archivo y destrucción.