Anterior Lección

Registro de actividades de tratamiento

Registro de actividades de tratamiento

 

Desde el 14 de mayo dejaron de estar operativos los sistemas de notificación de ficheros, y se han sustituido por la elaboración de un registro de actividades de tratamiento (art. 30 RGPD).

 

El registro de las actividades de tratamiento es una lista de los tratamientos llevados a cabo por la entidad y una información resumida de los mismos.

 

Así que lo primero que tenemos que tener claro cuando vamos a comenzar con nuestra actividad, es el tipo de datos que vamos a tratar y por cada tipo de datos, vamos a dejarlo reflejado en un documento, vamos a hacer un registro de actividades de tratamiento por cada uno de ellos.

 

Ve al ANEXO I de la plantilla, que es donde encontrarás el Registro de tratamiento de datos para que lo adaptes a tu negocio, pero antes quiero explicarte un poco más sobre este documento.

 

CUÁNDO ES OBLIGATORIO HACER EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Como indica el art. 30.5 del RGPD, deberá realizarse:

  • Cuando la empresa tenga más de 250 empleados
  • Cuando aún siendo menos de 250 empleados, se traten datos que puedan entrañar un riesgo para los derechos y libertades de los interesados o el tratamiento no sea ocasional.

 

En este último punto es donde nos vamos a ver obligados a realizar este tratamiento, ya que en un negocio online no vamos a tratar los datos de manera ocasional, sino continuada. 

 

De todos modos, aunque no fuera obligatorio, siempre es recomendable, porque nos va a ayudar a redactar el análisis de riesgo (que siempre es obligatorio), y de cara a la AEPD, va a dar una imagen de más responsabilidad a la hora de proteger los datos.

 

Así que vamos allá, vamos a hacer el registro de actividades de tratamiento. Con la plantilla que tienes al final de este módulo será muy sencillo, pero no dejes de leer el contenido de esta lección para que entiendas lo que estás haciendo.

 

CONTENIDO DEL REGISTRO

El contenido que debe tener el registro de las actividades de tratamiento viene indicado en el art. 30 del RGPD.

  • Nombre y datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de las categorías de interesados y de las categorías de datos personales.
  • Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Transferencias de datos personales a un tercer país o a una organización internacional.
  • Cuando sea posible, los plazos previstos para la supresión  de las diferentes categorías de datos.
  • Si fuere posible, una descripción general de las medidas técnicas y organizativas de seguridad.
  • Registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable. Debe contener:
    • el nombre y datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, de representante del responsable o del encargado, y del delegado de protección de datos.
    • las categorías de tratamientos efectuados por cuenta de cada responsable
    • las transferencias de datos personales a un tercer país u organización internacional
    • la descripción general de las medidas técnicas y organizativas de seguridad

 

FORMATO Y MANTENIMIENTO DEL REGISTRO

Los registros deben constar por escrito, pudiendo ser en formato electrónico.

El registro debe quedar a disposición de la autoridad de control, y mantenerse siempre actualizado cada vez que se produzca un cambio relevante en alguna actividad de tratamiento registrada.

 

SANCIÓN

Si estamos obligados a realizar el registro de las actividades de tratamiento y no lo realizamos, tanto el RGPD como el la nueva LOPD lo consideran como infracción grave, por lo que las multas podrán llegar hasta los 20 millones de euros  o el 4% de la facturación anual.

Ya ves lo importante que es redactarlo.

 

CÓMO RELLENAR LA PLANTILLA

Ahora sí, vamos a rellenar el Registro de Actividades de Tratamiento de Datos que tienes en el Anexo I.

En la plantilla he incluido los siguientes tratamientos de datos:

  • Usuarios de la web y suscriptores
  • Clientes
  • Proveedores
  • Alumnos
  • Empleados
  • Candidatos
  • Videovigilancia

Cada uno de estos tratamientos están redactados según los datos que se traten, sólo tienes que modificar los destinatarios que tienen acceso a cada uno de ellos.

Por ejemplo:

En el de usuarios de la web tendrá acceso la herramienta de email marketing que utilices, el hosting, el asistente virtual si tienes uno,…. es la parte que tienes que adaptar según tu negocio.

 

En el de proveedores, tendrá acceso tu asesoría fiscal, el banco, el asistente virtual si lo tienes, tu herramienta de email marketing si los agregas a ella,….

En definitiva, es saber y poner exactamente quién tendrá acceso a cada tipo de datos.

Por último tendrás que ir al apartado 1 de la plantilla para especificar el AMBITO DE APLICACIÓN DEL DOCUMENTO, es decir los tipos de tratamiento que vas a llevar a cabo y su son online (automatizado), en papel o en ambos soporte (Mixto). Elimina los tratamiento que no vayas a realizar y actualiza el tipo.

 

 

Es decir, pon aquí el resumen del tratamiento de los datos.

 

Anterior Lección
Back to
error: Content is protected !!