Registro de actividades del tratamiento


El Reglamento Europeo de Protección de Datos que tendrá plena aplicación a partir del próximo mes de mayo trae el Principio de la Responsabilidad Proactiva. Según este principio el responsable del tratamiento deberá aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En la práctica esta medida impone que los responsables del tratamiento analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, además de actuar de forma diligente, conciente y preactiva en relación al tratamiento de datos de carácter personal.

El registro de ficheros en la Agencia Española de Protección de Datos que anteriormente era algo de carácter obligatorio (y muchas veces la única preocupación de los responsables de los ficheros) dejará paso a la creación del denominado: Registro de Actividades del Tratamiento.

El artículo 30 del RGPD determina que cada responsable y, en su caso, encargados del tratamiento llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. De esta manera no se extingue la necesidad de describir qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos, y nombrar el Delegado de Protección de Datos en los casos aplicables.

¿Como organizo un Registro de Actividades?

La recomendación recogida en la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” difundido por la AEPD es:


• Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos;


• En torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.


El art. 30 del RGPD dispone el contenido que deberá ser incorporado al Registro de Actividades:


1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;


b) los fines del tratamiento;


c) una descripción de las categorías de interesados y de las categorías de datos personales;


d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;


e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;


f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;


g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.


2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:


a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;


b) las categorías de tratamientos efectuados por cuenta de cada responsable;


c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;


d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.


3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.


4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.


5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. Artículo



Entradas destacadas
Entradas recientes
Archivo
Buscar por tags
Síguenos
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

© 2017. Edora Consulting. Todos los derechos reservados 

  • LinkedIn Social Icon
  • Wix Facebook page
  • Wix Twitter page

+34 981 92 44 04

info@edora.es