ACTUALIZADO el 06 de Noviembre de 2018

 

Ya no es necesario dar de alta los ficheros en la AEPD, de hecho esta opción desapareció de la web el 14 de mayo (de 2018).

Y el motivo es que en realidad era un mecanismo que no servía para proteger realmente los datos de nuestros usuarios y clientes, y además creaba la confusión de que al realizar el alta de los ficheros ya estábamos cumpliendo la LOPD.

 

Tras la entrada en vigor del RGPD este paso se ha sustituido por el registro de actividades de tratamiento de datos.

No te preocupes, que te voy a explicar qué es  y lo que debe contener, y si estás obligado a redactarlo 😉

 

¿Quién está obligado a realizar el registro de actividades de tratamiento?

El registro tienen que realizarlo tanto el responsable del fichero (o sea tú) como el encargado del tratamiento (tus proveedores), que deberá especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Pero ahora no todos los responsables y encargados tienen que realizar el registro de actividades de tratamiento, pero prácticamente todos. así que no dejes de leer, que seguro que te toca hacer el registro de actividades de tratamiento.

Tienes que hacerlo si tu negocio cumple uno de estos requisitos:

  • Tienes más de 250 empleados (seguro que no es es caso de ninguno de los que leen este post).
  • El tratamiento incluye categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
  • Cuando se realice tratamiento de datos que puedan entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento de datos que se realiza se refiere a condenas o infracciones penales.
  • Cuando el tratamiento de los datos no sea ocasional, y aquí es donde vamos a estar incluidos todos los que tenemos un negocio online, así que nos toca realizarlo.

 

El último punto es el que incluye a todo negocio online, así que tenemos que hacer el registro de actividades de tratamiento.

Vamos a ver qué debe contener este registro de actividades de tratamiento, que además te va a servir de ayuda para hacer el análisis de riesgo.

 

 

Contenido del registro de actividades de tratamiento

El contenido que debe tener el registro de actividades de tratamiento viene indicado en el artículo 30 del RGPD, y es el siguiente:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • fines del tratamiento
  • descripción de las categorías de los interesados y de las categorías de datos personales
  • categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

 

Además, siempre que sea posible, se indicará también los plazos previstos para la supresión de datos en las diferentes categorías. Si no se puede decir un plazo en concreto, establecer el criterio que se sigue para establecerlo. Por ejemplo, en el caso de los suscriptores, hasta que revoquen su consentimiento, ya que es imposible saber el tiempo que van a estar suscritos.

En el registro de actividades de tratamiento de datos también indicaremos las medidas de seguridad que vamos a establecer en nuestro negocio para proteger los datos de los usuarios y clientes, ya que hará también la función del Documento de Seguridad.

Para poder realizar el registro de tratamiento de datos y establecer las medidas de seguridad, previamente habremos hecho un análisis de riesgo, en el que vamos a establecer las posibilidades que hay de perder los datos, que lo roben, que se eliminen…. y el riesgo que eso supondría para los usuarios.

Hay que hacer un registro de actividades de datos por cada clase de datos que se trate. Así haremos uno de suscriptores y usuarios de la web, de clientes, de proveedores,… y cada uno tendrá las medidas de seguridad necesarias.

Y no tienes que notificarlo a la Agencia Española de Protección de Datos, como pasaba antes con el alta de los ficheros. Lo que tienes es que mantenerlo actualizado, porque como ya te comentaba, es lo que te van a pedir en caso de inspección.

 

 

Formato del registro de actividades de tratamiento

Puedes hacerlo en formato papel o en formato electrónico, pero debe estar siempre actualizado y a disposición de la Autoridad de control si ésta te lo solicita.

En el caso que por el tratamiento que haces de los datos estés obligado a tener un registro de actividades de tratamiento, el hecho de no tenerlo supone una infracción grave, y mejor ni te digo la sanción porque te puede dar algo, asi que no lo dejes pasar y ponte ya a redactarlo.

Vamos, que en tu caso sería una infracción grave.

 

Este es sólo el principio para cumplir con el RGPD. Si quieres que te vaya guiando paso a paso por todo el proceso, puedes adquirir mi curso de protección de datos para negocios online.

En el curso dispondrás de la explicación para realizar estos documentos internos y de plantillas para hacerlas, con ejemplos incluidos.

Es muy buena opción si quieres llevar totalmente el control de la protección de datos de tu negocio, o si no tienes presupuesto para contratar a un profesional. Pero a un profesional de verdad, que hará una adaptación real, no las ofertas low cost que rondan por internet y que al final no te librarán de una sanción económica.

Aunque luego delegues esta parte de tu negocio, es importante que conozcas cómo debes gestionar los datos de tu negocio.

 

¿Tienes ya redactado los documentos legales de tu negocio online? ¿Conocías esta nueva obligación del RGPD?

Te espero en los comentarios para poder resolver tus dudas.

 

 

No olvides compartir este contenido en tus redes sociales para que vaya creciendo la comunidad interesada en la legalidad online.

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir en tu negocio online.