phone 915 752 750 email aec@aec.es

    Notas sobre el Registro de Actividades de Tratamiento de Datos

    Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Notas sobre el Registro de Actividades de Tratamiento de Datos

    Notas sobre el Registro de Actividades de Tratamiento de Datos

    9 febrero, 2018 | Macarena Rodriguez | GDPR Legal

    ¿Qué es y qué información debe contener el  registro de actividades de tratamiento de datos?

    • Es una novedad que introduce el art 30 del Reglamento General de Protección de Datos RGPD.
    • Deberá llevarlo a cabo cada responsable y encargado y, en su caso, sus representantes.
    • Es un mecanismo de rendición de cuentas: si bien el RGPD recoge una excepción en el caso de organizaciones que tengan menos de 250 trabajadores, no lleven a cabo tratamientos de datos que puedan entrañar un alto riesgo para los derechos y libertades de las personas, no ocasional, ni incluya categorías especiales de datos o datos relativos a condenas e infracciones penales, no debemos olvidar la importancia de principios básicos que se recogen en el propio RGPD como “accountability” o responsabilidad proactiva por lo que es recomendable disponer del mismo en todo caso.
    • Información mínima que debe contener:
    1. Los datos de contacto: del responsable, corresponsable, representante del responsable y DPO.
    2. Inventario de categorías de actividades de tratamiento.

    El RGPD entiende como tratamientocualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

    Así, este inventario podrá realizarse partiendo de los ficheros actuales, teniendo en cuenta tres aspectos:

    – Un fichero o conjunto de datos es algo lógico o abstracto, como un repositorio de datos, que se compone de tratamientos de los datos.

    -Los tratamientos de los datos son entendidos como una acción o un verbo que deriva del fichero.

    -Podemos identificar los tratamientos basándonos en las finalidades previstas para los ficheros (y notificados en su día al RGPD, a través del formulario NOTA).

    Ejemplo:

    Fichero o Conjunto: Recursos humanos

    Tratamientos: acciones que se realizan sobre el mismo

     

    El inventario de tratamientos de los datos contendrá:

    1. Nombre y fines del tratamiento.
    2. Tipología de datos incluidos.
    • Origen y procedencia de los datos.
    1. Categorías de interesados.
    2. Cesiones o comunicaciones de datos previstos.
    3. En su caso, identificación de las transferencias internacionales previstas y documentación de garantías adecuadas.
    • Plazos previstos para la supresión de las diferentes categorías de datos que se incluyen.

     

    1. Descripción de las medidas técnicas y organizativas de seguridad (en este sentido podemos entender que sustituye al actual documento de seguridad).

    Equipo de profesionales de Govertis

    Logotipo de Govertis

    Tags: