Diversas legislaciones de protección de datos personales establecen la obligación a cargo del responsable[1] (controller) y/o el encargado[2] (processor) de crear y mantener un registro de las actividades del tratamiento de datos personales, o bien, un inventario de datos personales.

Si bien no en todas las legislaciones es clara la distinción o relación conceptual entre “registro de actividades de tratamiento” e “inventario de datos personales”, puede afirmarse que el primero comprende al segundo, como parte de una herramienta de control interno y una forma de demostrar el cumplimiento del ordenamiento de protección de datos personales de referencia. En algunos contextos podrían emplearse como expresiones equivalentes.

En México, las legislaciones de protección de datos personales refieren al término “inventario de datos personales y de los sistemas de tratamiento” y no al de “registro de actividades de tratamiento”, como es el caso del artículo 30 del Reglamento General de Protección de Datos (RGPD), el cual establece que cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. [3]

En este sentido, el artículo 61 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), ordenamiento aplicable a los responsables del tratamiento de carácter privado, establece como parte de las acciones para establecer y mantener la seguridad de los datos, el deber de elaborar un inventario de datos personales y de los sistemas de tratamiento.

En el ámbito de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, (LGPDPPSO), ordenamiento aplicable a los responsables del sector público federal, el inventario de datos personales y de los sistemas de tratamiento se encuentra previsto como parte de las actividades interrelacionadas para establecer y mantener medidas de seguridad para la protección de los datos (artículo 33, fracción III), y como un elemento necesario que deberá estar contenido en el Documento de Seguridad[4] (artículo 35, fracción I) de los Sujetos Obligados.

¿Cuáles son los elementos que debe contener un Inventario de datos personales?

Tanto la LFPDPPP como su Reglamento son omisos respecto a los elementos que un inventario debe considerar e integrar en su elaboración. Sin embargo, a diferencia del sector privado, los Lineamientos Generales de Protección de Datos Personales para el Sector Público que desarrollar las disposiciones previstas en la Ley General de Protección de Datos en lo relativo al ámbito federal, establecen que el inventario debe contener la información básica de cada tratamiento y considerar cuando menos (artículo 58 de los Lineamientos), los siguientes elementos:

• El catálogo de medios físicos y electrónicos a través de los cuales se obtienen los datos personales.
• Las finalidades de cada tratamiento.
• El catálogo de los tipos de datos personales, indicando si son sensibles o no.
• El catálogo de formatos de almacenamiento, así como la descripción general de la ubicación física y/o electrónica de los datos personales.
• La lista de servidores públicos que tienen acceso a los sistemas de tratamiento.
• En su caso, el nombre completo o denominación o razón social del encargado y el instrumento jurídico que formaliza la prestación de los servicios que brinda al responsable.
• En su caso, los destinatarios o terceros receptores de las transferencias que se efectúen, así como las finalidades que justifican éstas.

Si bien los elementos anteriores aparecen expresamente referidos en la legislación del sector público, pueden tomarse como referentes para la elaboración del inventario requerido en términos del Reglamento de la LFPDPPP, teniendo en cuenta que se trata de requisitos mínimos, los cuales pueden ser ampliados o complementados con el objeto de mejorar esta herramienta para facilitar el cumplimiento de las disposiciones aplicables.

¿Quién tiene la obligación de contar con un Inventario de datos personales?

En el ámbito del RGPD, la obligación de contar con un registro de las actividades del tratamiento corresponde tanto al responsable (artículo 30(1) RGPD) como al encargado (artículo 30(2) RGPD).

En México, el deber expreso de elaborar un inventario de los datos personales y los sistemas del tratamiento ha sido reconocido expresamente a los responsables del tratamiento, tanto del sector público como del privado, siempre y cuando lleven a cabo tratamientos de datos personales. Sin embargo, esta situación no impide que las personas físicas (naturales) o morales (jurídicas), de carácter público o privado que actúen con carácter de encargados, puedan (y deban) contar con un inventario de datos personales con elementos similares para los responsables para facilitar el cumplimiento de la legislación en la materia.

¿Cada cuándo debe actualizarse el Inventario de datos personales?

La legislación mexicana no establece un periodo fijo o determinado para la actualización del inventario de datos personales. No obstante, algunas autoridades de protección de datos personales han emitido recomendaciones al respecto. Es el caso de la Commission Nationale de l’Informatique et des Libertés, que ha señalado que el inventario debe actualizarse periódicamente, de acuerdo con la evolución funcional y práctica del tratamiento de datos.

Fundamentalmente, cualquier cambio sustancial introducido en las condiciones del tratamiento (por ejemplo, nuevos datos recabados, cambio de finalidades, extensión del tiempo o plazo de conservación, nuevos destinatarios o receptores de transferencias de datos, etc.) debe dar pie a la actualización del Inventario.[5]

Al respecto, es importante señalar que le legislación mexicana en la materia, tanto en el sector público como en el privado, no establece la obligación de crear un Registro Oficial a cargo de alguna autoridad o dependencia pública, como es el caso de Colombia, con la conformación del directorio público de las bases de datos sujetas a tratamiento que operan en dicho país, denominado Registro Nacional de Bases de Datos (RNBD)[6], el cual es administrado por la Superintendencia de Industria y Comercio, y de libre consulta para los ciudadanos.[7]

En México, el inventario de datos personales es un registro documentado de carácter interno y progresivo, que tiene entre sus objetivos principales facilitar el cumplimiento de las disposiciones en la materia, no existiendo obligación a nivel federal de comunicarlo o notificarlo al órgano garante federal (el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Sin embargo, cabe aclarar que el INAI tiene las atribuciones para requerirlo en el contexto de alguna investigación o verificación, por lo cual el inventario debe encontrarse debidamente documentado y ser accesible de manera permanente.

El inventario de datos personales debe estar en posesión de los propios responsables del tratamiento o encargados. De este modo, pueden tener una visión general de todas las actividades de procesamiento de datos personales que realizan.

---

[1] En México, son responsables del tratamiento las personas físicas o morales de carácter privado en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como los sujetos obligados de conformidad a la Ley General de Protección de Datos Personales, que deciden sobre el tratamiento de los datos personales que se encuentran en su posesión.

[2] En la legislación mexicana de protección de datos, se define al “encargado” como la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

[3] Con el objeto de tener en cuenta la situación específica de las micro, pequeñas y medianas empresas, el RGPD incluyó una excepción para las organizaciones con menos de 250 empleados, respecto a la obligación de mantener estos registros (artículo 30, apartado 5, RGPD). No obstante, la excepción prevista en el artículo 30, apartado 5, no es absoluta. Hay tres tipos de tratamientos de datos que no están sujetos a la excepción. Estos son: (1) Cuando el tratamiento pueda suponer un riesgo para los derechos y libertades de los interesados; (2) Cuando el tratamiento de los datos personales no sea ocasional, y (3) Cuando el tratamiento incluya categorías especiales de datos o datos personales relativos a condenas e infracciones penales.

[4] Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee.

[5] CNIL (2019), Record of Processing Activities. Recuperado del sitio: https://www.cnil.fr/en/record-processing-activities

[6] Creado en cumplimiento a lo dispuesto en la Ley 1581 de 2012, reglamentado mediante el capítulo 26 del Decreto Único 1074 de 2015, que estableció la información mínima que debe contener el RNBD y los términos y condiciones bajo los cuales se deben inscribir en éste las bases de datos sujetas a la aplicación de la Ley 1581 de 2012.

[7] Superintendencia de Industria y Comercio (2021), Registro Nacional de Bases de Datos, Recuperado de: https://www.sic.gov.co/registro-nacional-de-bases-de-datos