Notas sobre el Registro de Actividades de Tratamiento de Datos

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Notas sobre el Registro de Actividades de Tratamiento de Datos

Notas sobre el Registro de Actividades de Tratamiento de Datos

9 febrero, 2018 | GDPR Legal

¿Qué es y qué información debe contener el  registro de actividades de tratamiento de datos?

  • Es una novedad que introduce el art 30 del Reglamento General de Protección de Datos RGPD.
  • Deberá llevarlo a cabo cada responsable y encargado y, en su caso, sus representantes.
  • Es un mecanismo de rendición de cuentas: si bien el RGPD recoge una excepción en el caso de organizaciones que tengan menos de 250 trabajadores, no lleven a cabo tratamientos de datos que puedan entrañar un alto riesgo para los derechos y libertades de las personas, no ocasional, ni incluya categorías especiales de datos o datos relativos a condenas e infracciones penales, no debemos olvidar la importancia de principios básicos que se recogen en el propio RGPD como “accountability” o responsabilidad proactiva por lo que es recomendable disponer del mismo en todo caso.
  • Información mínima que debe contener:
  1. Los datos de contacto: del responsable, corresponsable, representante del responsable y DPO.
  2. Inventario de categorías de actividades de tratamiento.

El RGPD entiende como tratamientocualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Así, este inventario podrá realizarse partiendo de los ficheros actuales, teniendo en cuenta tres aspectos:

– Un fichero o conjunto de datos es algo lógico o abstracto, como un repositorio de datos, que se compone de tratamientos de los datos.

-Los tratamientos de los datos son entendidos como una acción o un verbo que deriva del fichero.

-Podemos identificar los tratamientos basándonos en las finalidades previstas para los ficheros (y notificados en su día al RGPD, a través del formulario NOTA).

Ejemplo:

Fichero o Conjunto: Recursos humanos

Tratamientos: acciones que se realizan sobre el mismo

 

El inventario de tratamientos de los datos contendrá:

  1. Nombre y fines del tratamiento.
  2. Tipología de datos incluidos.
  • Origen y procedencia de los datos.
  1. Categorías de interesados.
  2. Cesiones o comunicaciones de datos previstos.
  3. En su caso, identificación de las transferencias internacionales previstas y documentación de garantías adecuadas.
  • Plazos previstos para la supresión de las diferentes categorías de datos que se incluyen.

 

  1. Descripción de las medidas técnicas y organizativas de seguridad (en este sentido podemos entender que sustituye al actual documento de seguridad).

Equipo de profesionales de Govertis

Logotipo de Govertis

Tags: