ACTUALIZADO el 06 de Noviembre de 2018

 

Ya no es necesario dar de alta los ficheros en la AEPD, de hecho esta opción desapareció de la web el 14 de mayo (de 2018).

Y el motivo es que en realidad era un mecanismo que no servía para proteger realmente los datos de nuestros usuarios y clientes, y además creaba la confusión de que al realizar el alta de los ficheros ya estábamos cumpliendo la LOPD.

Tras la entrada en vigor del RGPD este paso se ha sustituido por el registro de actividades de tratamiento de datos.

No te preocupes, que te voy a explicar qué es  y lo que debe contener, y si estás obligado a redactarlo 😉

 

¿Quién está obligado a realizar el registro de actividades de tratamiento?

El registro tienen que realizarlo tanto el responsable del fichero (o sea tú) como el encargado del tratamiento (tus proveedores), que deberá especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Pero ahora no todos los responsables y encargados tienen que realizar el registro de actividades de tratamiento. Será solo en los casos que cumplan uno de estos requisitos:

  • El negocio tenga más de 250 empleados (seguro que no es es caso de ninguno de los que leen este post).
  • El tratamiento incluye categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
  • Cuando se realice tratamiento de datos que puedan entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento de datos que se realiza se refiere a condenas o infracciones penales.
  • Cuando el tratamiento de los datos no sea ocasional, y aquí es donde vamos a estar incluidos todos los que tenemos un negocio online, así que nos toca realizarlo.

 

Mi recomendación es que aunque no estés obligado, tengas tu registro de actividades de tratamiento de datos, porque te va a ayudar a realizar el análisis de riesgo y va a ayudarte a demostrar (en caso de una inspección) que realmente te preocupas por proteger los datos de tus usuarios.

 

 

Contenido del registro de actividades de tratamiento

El contenido que debe tener el registro de actividades de tratamiento viene indicado en el artículo 30 del RGPD, y es el siguiente:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • fines del tratamiento
  • descripción de las categorías de los interesados y de las categorías de datos personales
  • categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

 

Además, siempre que sea posible, se indicará también:

  • los plazos previstos para la supresión de datos en las diferentes categorías.
  • una descripción general de las medidas técnicas y organizativas de seguridad.

 

En el registro de actividades de tratamiento de datos también indicaremos las medidas de seguridad que vamos a establecer en nuestro negocio para proteger los datos de los usuarios y clientes, ya que hará también la función del Documento de Seguridad.

Para poder realizar el registro de tratamiento de datos y establecer las medidas de seguridad, previamente habremos hecho un análisis de riesgo.

 

 

Formato del registro de actividades de tratamiento

Puedes hacerlo en formato papel o en formato electrónico, pero debe estar siempre actualizado y a disposición de la Autoridad de control si ésta te lo solicita.

En el caso que por el tratamiento que haces de los datos estés obligado a tener un registro de actividades de tratamiento, el hecho de no tenerlo supone una infracción grave, y mejor ni te digo la sanción porque te puede dar algo, asi que no lo dejes pasar y ponte ya a redactarlo.

Este es sólo el principio para cumplir con el RGPD. Si quieres que te vaya guiando paso a paso por todo el proceso (con plantillas incluidas), puedes adquirir mi curso de protección de datos para negocios online.

Es muy buena opción si quieres llevar totalmente el control de la protección de datos de tu negocio, o si no tienes presupuesto para contratar a un profesional. Pero a un profesional de verdad, que hará una adaptación real, no las ofertas low cost que rondan por internet y que al final no te librarán de una sanción económica.

 

¿Tienes ya redactado los documentos legales de tu negocio online? ¿Conocías esta nueva obligación del RGPD?

Te espero en los comentarios para poder resolver tus dudas.

 

No olvides compartir este contenido en tus redes sociales para que vaya creciendo la comunidad interesada en la legalidad online.

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir según el tipo de negocio que tengas.

 

Si vendes productos y o servicios (también puedes obtener ingresos por afiliación). 

Si tus ingresos son por afiliación y/o publicidad exclusivamente