El Registro de Actividades del tratamiento supone una de las principales obligaciones que tienen los responsables del Tratamiento y Encargados del Tratamiento con la entrada del RGPD (Reglamento Europeo de Protección de Datos Personales) en su articulo 30 y según la LOPD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Aunque esta obligación queda exceptuada para aquellas entidades con menos de 250 empleados están exentas A MENOS que:
– el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados,
– no sea ocasional o
– incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
No obstante, nuestra recomendación para implantar un efectivo programa de privacidad bajo el RGPD es la de partir de la identificación y elaboración Registro de Actividades del tratamiento que realizan las Organizaciones (Pymes en su caso), ya que, en caso contrario, va a ser complicado acometer el resto de las obligaciones del propio RGPD.
Para facilitar el registro de activdades del tratamiento, hemos desarrollado un sistema de 6 preguntas que nos permitirá recopilar la información necesaria de manera sencilla y estructurada.
- ¿A quién? Esta pregunta se refiere a la identificación de las partes involucradas en el tratamiento de datos. Incluye el nombre y los datos de contacto del responsable del tratamiento, así como los datos del responsable conjunto del tratamiento, el encargado del tratamiento, el representante del responsable del tratamiento y el Delegado de Protección de Datos si aplica.
- ¿Por qué? Aquí se describe la finalidad o propósito del tratamiento de los datos. Es importante proporcionar una descripción completa y clara de los propósitos del procesamiento. Cada actividad de tratamiento con un único propósito debe tener un registro correspondiente. Por lo tanto, el número de registros de actividades del tratamiento debe coincidir con el número de propósitos del procesamiento.
- ¿De quién? y ¿Qué? En esta pregunta se debe realizar una descripción de las categorías de interesados, excluyendo a los menores, y de los datos tratados, excluyendo los datos sensibles, para cada uno de los propósitos identificados. Es necesario especificar qué tipo de datos se están recopilando y de quiénes.
- ¿Dónde? El objetivo de esta pregunta es localizar los datos y proporcionar información sobre los destinatarios de los datos, incluidos los subcontratistas. También es importante mencionar si se realiza transferencia de datos a terceros países de la Unión Europea y del Espacio Económico Europeo, y cualquier documentación relacionada con estos aspectos. Esto implica una gestión dinámica del registro, ya que los destinatarios y las transferencias de datos pueden cambiar con el tiempo.
- ¿Hasta cuándo? Aquí se proporciona información sobre el período de retención de los datos. La duración no tiene que expresarse necesariamente en un plazo determinado, como días, meses o años. Puede hacer referencia a parámetros como el tiempo necesario para alcanzar el objetivo específico del tratamiento, la gestión de litigios relacionados, la expiración de un plazo de prescripción, entre otros.
- ¿Cómo? En esta pregunta se realiza una descripción general de las medidas de seguridad técnicas y organizativas vigentes. Se deben mencionar las medidas implementadas para proteger los datos y garantizar su seguridad, tanto a nivel técnico como organizativo. Esto puede incluir medidas como el cifrado de datos, la gestión de accesos y permisos, la realización de copias de seguridad, la formación del personal, entre otras.
Responder a estas preguntas nos permitirá elaborar de manera más completa y estructurada el registro de actividades del tratamiento, asegurando así el cumplimiento de las normativas y la protección de los datos personales.
Por supuesto, podemos agregar otros elementos al registro de actividades del tratamiento como la base jurídica del procesamiento, la necesidad de un análisis de impacto, el registro de violaciones de datos, etc, lo que nos permite enriquecer el registro y abordar de mejor forma nuestro programa de privacidad.
Si en tu Organización cuentas con un Delegado de Protección de Datos, este puede asesorarte en la confección del registro de actividades del tratamiento.
Por otro lado, si no cuentas con un Delegado de Protección de Datos y deseas contratar los servicios de Delegado de Protección de Datos puedes ponerte en contacto con Gesdata Consulting.