Contacto
El RGPD prevé nuevas obligaciones de documentación del tratamiento para los responsables o los encargados del tratamiento. Sólo se exceptúan de esta obligación los responsables o encargados que tienen menos de 250 trabajadores y que llevan a cabo tratamientos que no pueden comportar un riesgo -a no ser que sea ocasional- para los derechos y las libertades de las personas interesadas, y que no incluyen categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.
Estos responsables y encargados del tratamiento tienen que llevar un registro de las actividades de tratamiento que realizan. Este registro debe contener, respecto a cada actividad, la información que establece el artículo 30 del RGPD.
Esta información incluye cuestiones como las siguientes:
- Nombre y datos de contacto del responsable y, si es preciso, del corresponsable, así como del delegado de protección de datos, si existe.
- Finalidades del tratamiento.
- Descripción de categorías de interesados y categorías de datos personales tratados.
- Transferencias internacionales de datos.
- Cuando sea posible, los plazos previstos para suprimir los datos.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
¿Cómo se debe organizar el registro de operaciones de tratamiento?
Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que los responsables han notificado al Registro de Protección de Datos de Cataluña, y detallar todas las operaciones que se efectúan sobre cada conjunto estructurado de datos.
No obstante, el registro también se puede organizar en torno a operaciones de tratamiento concretas, vinculadas a una finalidad básica común de todas ellas (por ejemplo gestión de clientes, “gestión contable” o “gestión de recursos humanos y nóminas”), o bien de acuerdo con otros criterios diferentes.
Puden consultar la aplicación del Registro de las Actividades del Tratamiento en este enlace.