PROTOCOLO DE GESTIÓN DEL REGISTRO DE ACTIVIDADES DEL TRATAMIENTO (ARTÍCULO 30 RGPD)
Gestiona Abogados
El trabajo realizado en nuestro primer protocolo va a facilitar en gran medida el abordaje del Registro de Actividades de Tratamiento.
En este Protocolo se deben documentar cada uno de los aspectos recogidos en el artículo 30 RGPD.
Esta obligación queda exceptuada para aquellas entidades con menos de 250 empleados A MENOS que:
- el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados,
- no sea ocasional o
- incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
No obstante, nuestra recomendación para implantar un efectivo programa de privacidad bajo el RGPD es la de partir de la identificación y elaboración del Registro de Actividades del tratamiento. ¿Porqué? Porque si no lo tenemos elaborado, va a ser complicado cumplir el resto de las obligaciones del propio RGPD
Para ello, hemos elaborado un sistema de 6 preguntas que nos permitirán poder elaborar de forma sencilla dicho registro de actividades del tratamiento.
- ¿A quién? Esto incluye datos tales como el nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable conjunto del tratamiento, del encargado del tratamiento, del representante del responsable del tratamiento y del Delegado de protección de datos.
- ¿Por qué? Esto equivale a describir la finalidad o propósito del tratamiento de los datos.
- ¿De quién? Y ¿Qué? Es una descripción de las categorías de los interesados -aislando a los menores- y de los datos tratados -aislando los datos sensibles-para cada uno de los fines identificados.
- ¿Dónde? El objetivo es localizar los datos, especificar los destinatarios de los datos -incluidos los subcontratistas-, la transferencia de datos a terceros países de la Unión, así como la documentación relacionada con ellos.
- ¿Hasta cuándo? Información sobre el período de retención de los datos. La duración no tiene por qué expresarse necesariamente en un plazo determinado (días, meses, o años), sino que puede referirse a parámetros como el tiempo necesario para lograr el objetivo específico perseguido, la gestión de cualquier litigio relacionado, la expiración de un plazo de prescripción, etc.
- ¿Cómo? Esta es una descripción general de las medidas de seguridad técnicas y organizativas adoptadas.
En Resumen:
- Nombre y datos de contacto del responsable del tratamiento, y en su caso del corresponsable, del representante del responsable, y del DPD
- Fines del tratamiento (comerciales, publicitarios, de archivo en interés público, investigación científica o histórica, y/o estadísticos, etc.
- Categorías de interesados y de datos tratados
- Cesiones
- Transferencias internacionales, cuando se produzcan
- Plazos de conservación previstos
- Medidas técnicas y organizativas aplicadas
Registro de Actividades de Tratamiento
Veamos el primer punto:
El Responsable del tratamiento
- Es la persona física o jurídica que decide sobre el tratamiento de los datos: qué se va hacer con ellos, si se van a conservar, se van a ceder o se van a eliminar.
- Es decir, el responsable del tratamiento determina los fines y los medios relacionados con el tratamiento de los datos personales.
- De modo que, si usted decide el «por qué» y «cómo» deberán tratarse los datos personales, usted es el responsable del tratamiento.
- Los empleados que realizan el tratamiento de los datos personales en su organización, lo hacen en cumplimiento de las funciones que usted ejerce como responsable del tratamiento.
El Corresponsable del tratamiento
- Es la persona física o jurídica que, junto con una o más organizaciones, determina conjuntamente «por qué» y «cómo» deberán tratarse los datos personales.
- Los corresponsables del tratamiento deben concertar un acuerdo en el que se establezcan sus respectivas responsabilidades de cumplimiento con las normas del Reglamento general de protección de datos.
- Los principales aspectos del acuerdo deberán comunicarse a las personas sobre cuyos datos se realice el tratamiento.
El Representante del responsable.
- En aquellos casos en los que se produzca el tratamiento de datos personales de interesados que residan en la Unión Europea, por parte de un responsable o encargado no establecido en la Unión, será preciso que el responsable o el encargado del tratamiento designe, por escrito, un representante en la Unión Europea.
- No existe obligación de designar un representante cuando el tratamiento de datos sea ocasional, o cuando e el tratamiento se realice por las autoridades u organismos públicos.
El Encargado del tratamiento.
- El encargado trata los datos personales únicamente por cuenta del responsable del tratamiento. El encargado del tratamiento de los datos suele ser un tercero externo a la empresa; sin embargo, en el caso de los grupos de empresas, una de ellas puede actuar como encargada del tratamiento para otra.
- Las obligaciones del encargado del tratamiento con respecto al responsable deberán especificarse en un contrato u otro acto jurídico. Por ejemplo, el contrato debe indicar lo que pasará con los datos personales una vez finalizado el contrato.
- Una actividad típica de los encargados es ofrecer soluciones informáticas, como almacenamiento en la nube.
- El encargado del tratamiento solo puede subcontratar una parte de esta tarea a otro encargado o designar un coencargado cuando haya recibido la autorización previa por escrito del responsable del tratamiento.
- Existen situaciones en las que una entidad puede ser responsable o encargado del tratamiento, o ambas cosas.
El Delegado de protección de datos.
- En el caso de que la empresa designe a un DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada.
- En primer lugar se debe Incluir un documento de designación, a suscribir por las partes, tanto para el caso en que sea obligatorio contar con esta figura, como para el caso de que la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.
- Se recomienda documentar en este Protocolo la fundamentación jurídica que justifique tanto la obligatoriedad de la designación, como la no obligatoriedad de la designación del DPD en la empresa.
- En dicho documento se debe definir la naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos.
- Se recomienda asimismo que la Memoria que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.
GDPR – General Data Protection Regulation
Por supuesto, podemos agregar otros elementos al registro de actividades del tratamiento como la base jurídica del procesamiento, la necesidad de un análisis de impacto, el registro de violaciones de datos, etc, lo que nos permite enriquecer el registro y abordar de mejor forma nuestro programa de privacidad.
Si en tu Organización cuentas con un Delegado de Protección de Datos, este puede asesorarte en la confección del registro de actividades del tratamiento.
Si no cuentas con un Delegado de Protección de Datos y deseas contratar los servicios de Gestiona Abogados podemos ayudarte a cumplir con la aplicación de la LOPD y el RGPD, de una manera práctica y sencilla. Contáctanos para saber más.
El próximo día seguiremos con el PROTOCOLO DE ANÁLISIS DE RIESGOS y la EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS