Registro de Actividades de Tratamiento: modelo descargable

Registro de actividades de tratamiento: modelo descargable

Contenido y esquema del Registro de Actividades de Tratamiento

Actualización: Hoy 14 de mayo, la Agencia Española de Protección de Datos, ha dejado de tener disponible entre sus procedimientos, el alta de los tratamientos de datos en su registro general. Por tanto, desde este día, ya no es posible inscribir ficheros en la AEPD.

Fin de la inscripción de ficheros ante la AEPD
Fin de la inscripción de ficheros ante la AEPD

Una de las novedades más significativas del RGPD es la finalización de la obligatoriedad de registrar ante la Agencia Española de Protección de Datos, los tratamientos de datos que las empresas y profesionales gestionan.

Si se me permite una nota personal, creo que es un error eliminar esta obligatoriedad, pues era la única garantía jurídica que el usuario tenia de que una empresa o profesional concreto, estaba cumpliendo (al menos en el aspecto formal), con la normativa en materia de privacidad.

Pero como el cumplimiento de la norma no admite muchas discusión, nos adecuaremos a lo que corresponda y hablaré hoy del requisito del Registro de Actividades de Tratamiento.

El RGPD determina en su artículo 30 que “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Es decir, que las empresas y profesionales deberán, eliminada la obligatoriedad de registro ante la AEPD, organizar su propio registro donde especifiquen que datos tratan y como lo hacen.

Igualmente, el artículo 30, detalla cual es la información que este registro debe contener:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

Esta obligación de registro de las actividades que se lleven a cabo con datos personales, incluye también a los encargados de tratamiento, que deberán especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Os dejo para esto un modelo de Registro de Actividades de Tratamiento de Datos que he creado para mis clientes, donde se detallan los aspectos a controlar, según indica la propia Agencia Española de Protección de Datos en la Guía de Análisis de Riesgos que publicó hace unas semanas y además incluyo, porque creo que dota de mayor valor a la herramienta, otros aspectos que sobre los tratamientos de datos incluye la Guía sobre Evaluaciones de Impacto de la propia AEPD.

El modelo no tiene porqué servir para todo tipo de empresas y profesionales, pero si que puede servir de guía para la creación del Registro de Actividades de Tratamiento. Espero que os resulte de utilidad.

Photo on Foter.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *