ROPA Registro de Actividades de Tratamiento.

El ROPA es el inventario documentado de actividades de tratamiento exigido por el artículo 30 del GDPR. Los responsables consignan finalidad, categorías, destinatarios, plazos de conservación y transferencias; los encargados, los responsables a quienes sirven, las categorías y las transferencias. La mayoría de las organizaciones subestima el trabajo de mantenimiento. La autoridad de control solicita el ROPA en primer lugar cuando se abre una investigación.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La perspectiva de Cyber Academy

El ROPA es el inventario documentado de actividades de tratamiento exigido por el artículo 30 del GDPR. Los responsables consignan finalidad, categorías, destinatarios, plazos de conservación y transferencias; los encargados, los responsables a quienes sirven, las categorías y las transferencias. La mayoría de las organizaciones subestima el trabajo de mantenimiento. La autoridad de control solicita el ROPA en primer lugar cuando se abre una investigación.

Qué es realmente el ROPA (registro de actividades de tratamiento)

El registro de actividades de tratamiento es el mapa de todo lo que una organización hace con datos personales. No es una política ni una promesa; es un inventario, mantenido al día, que permite responder a una pregunta sencilla para cualquier operación de tratamiento: qué datos, con qué finalidad, sobre qué base jurídica, quién accede a ellos, adónde van y cuánto tiempo se conservan. El GDPR convierte este registro en una obligación en virtud del artículo 30, y reparte el deber según el rol.

Un responsable del tratamiento documenta sus propias actividades de tratamiento; un encargado del tratamiento documenta las categorías de tratamiento que lleva a cabo por cuenta de los responsables a los que presta servicio. Los dos registros se solapan, pero no son lo mismo, y una organización que actúa a la vez como responsable y como encargado debe mantener ambos.

En la práctica, el ROPA es el cimiento sobre el que se sostiene el resto de un programa de privacidad. No se puede llevar a cabo una EIPD significativa, responder a una solicitud de acceso de un interesado, delimitar una brecha o negociar un contrato de encargo de tratamiento sin saber primero que el tratamiento existe y dónde residen los datos. Por eso la autoridad de control pide el ROPA en primer lugar cuando se abre una investigación. Es la forma más rápida que tiene un regulador de calibrar si una organización entiende realmente sus propios datos, y un registro pobre o desactualizado indica que el resto del programa probablemente también lo esté.

Qué contiene: responsable frente a encargado

Las dos versiones del registro incluyen campos distintos porque los dos roles responden a preguntas distintas. Un responsable del tratamiento decide por qué y cómo se tratan los datos, de modo que su registro debe justificar cada finalidad. Un encargado solo actúa siguiendo instrucciones, de modo que su registro describe el servicio que presta, no la razón que lo motiva.

Registro del responsable frente a registro del encargado
ElementoRegistro del responsableRegistro del encargado
Identidad y contactoResponsable, posibles corresponsables, representante, DPOEncargado, representante, DPO, y cada responsable al que presta servicio
FinalidadesFinalidad de cada actividad de tratamientoNo exigido; el encargado actúa siguiendo instrucciones
Interesados y categoríasCategorías de personas y de datos personalesCategorías de tratamiento realizadas por cada responsable
DestinatariosA quién se comunican los datosÍdem, cuando sea pertinente para el servicio
TransferenciasTransferencias fuera de la UE y garantías utilizadasTransferencias fuera de la UE y garantías utilizadas
ConservaciónPlazos previstos para la supresión cuando sea posibleNo exigido por separado
SeguridadDescripción general de las medidas técnicas y organizativasDescripción general de las medidas técnicas y organizativas

Los campos parecen administrativos, pero cada uno soporta carga. Los plazos de conservación impulsan tus flujos de supresión. Las listas de destinatarios alimentan tu inventario de encargados y tus evaluaciones de impacto de las transferencias. Las categorías de datos señalan dónde un tratamiento de categorías especiales activa la obligación de un DPO o de una EIPD. Cumplimentado con honestidad, el ROPA es una herramienta de diagnóstico operativa; cumplimentado como un mero trámite de marcar casillas, es peor que inútil porque da una falsa garantía.

Quién debe mantenerlo y cómo se conecta

El GDPR formula el deber del artículo 30 con una exención para las organizaciones de menos de 250 empleados, pero la exención es lo bastante estrecha como para que la mayoría siga necesitando un registro. Decae en cuanto el tratamiento no es ocasional, es probable que entrañe un riesgo para las personas, o implica datos de categorías especiales o relativos a infracciones penales, lo que abarca el tratamiento habitual de casi cualquier empresa en funcionamiento. Las autoridades de control, incluida la CNIL, tratan el ROPA como una práctica esperada y no como una obligación poco frecuente, y la CNIL publica una plantilla gratuita para reducir la barrera de entrada.

El registro no vive solo. Es la columna vertebral a la que se anclan la EIPD, la función de DPO y el proceso de respuesta a brechas. El DPO lo utiliza para supervisar el cumplimiento y asesorar sobre el riesgo; una EIPD empieza extrayendo la entrada pertinente; una evaluación de brecha lo usa para delimitar qué datos y qué personas están en juego. Las organizaciones que avanzan hacia ISO 27701 reconocerán el ROPA como, en esencia, el sistema de gestión de la información de privacidad pidiendo el mismo inventario, razón por la cual los equipos maduros mantienen un único registro y dejan que sirva a varios regímenes en lugar de mantener listas paralelas.

Frequently asked questions

01¿Quién tiene que mantener un ROPA?

Tanto los responsables como los encargados del tratamiento, cada uno con su propia versión. La exención para menos de 250 empleados es estrecha y rara vez se aplica, porque desaparece en cuanto el tratamiento es regular, arriesgado o implica datos de categorías especiales, lo que describe a casi cualquier empresa activa.

02¿Cuál es la diferencia entre el registro del responsable y el del encargado?

El registro del responsable documenta la finalidad y la base jurídica de cada actividad, ya que el responsable decide por qué se tratan los datos. El registro del encargado describe las categorías de tratamiento que realiza para cada responsable al que presta servicio, porque un encargado actúa únicamente siguiendo instrucciones y no fija la finalidad.

03¿Con qué frecuencia debe actualizarse el ROPA?

Siempre que cambie el tratamiento, no según un calendario fijo. El enfoque fiable consiste en desencadenar las actualizaciones a partir de eventos reales, como la incorporación de un nuevo proveedor, el lanzamiento de una funcionalidad o la firma de un contrato de encargo de tratamiento, en lugar de depender de una revisión anual.

04¿Por qué el regulador pide el ROPA en primer lugar?

Porque es la lectura más rápida de si una organización entiende sus propios datos. Un registro completo y actualizado muestra un programa en funcionamiento; uno pobre o caducado indica que la postura general de cumplimiento probablemente también sea débil.

05¿Es el ROPA lo mismo que una EIPD?

No. El ROPA es un inventario permanente de todas las actividades de tratamiento. Una EIPD es una evaluación de riesgo más profunda realizada para tratamientos específicos de alto riesgo, y normalmente empieza extrayendo la entrada pertinente del ROPA.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.