Píldora Formativa RGPD V. Parte II. Medidas de Responsabilidad Activa.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

RGPD - Medidas de Responsabilidad Activa.OBLIGACIÓN

Los responsables y encargados deben cumplir con nuevas obligaciones de documentación como es mantener un registro de operaciones de tratamiento. Dicho registro debe contener la información establecida en el art. 30 del RGPD y debe contener datos como:

  • Nombre y datos de contacto del Responsable o corresponsable, y del Delegado de Protección de Datos, si lo hay.
  • Finalidad del tratamiento.
  • Descripción de categorías de interesados y categorías de datos tratados.
  • Transferencias internacionales de datos.
  • Cuando sea posible, plazos previstos para la supresión de los datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Se encuentran exentas de esta obligación las organizaciones que empleen a menos de 250 trabajadores:

  • a no ser que el tratamiento realizado entrañe un riesgo para los derechos y las libertades de los interesados,
  • no sea el tratamiento ocasional,
  • o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.

 

RECOMENDACIÓN

La mejor forma de cumplir con esta obligación es partiendo de la base de los ficheros que los responsables actualmente tienen notificados en el Registro General de Protección de Datos, especificando la totalidad  de operaciones  que se realizan sobre cada conjunto estructurado de datos.

También se puede organizar el registro alrededor de operaciones de tratamiento concretas vinculadas a una finalidad genérica común, como puede ser la gestión de clientes, gestión contable o gestión de los recursos humanos o cualquier otro criterio diferente.

 

PROTECCIÓN DE DATOS DESDE DISEÑO Y POR DEFECTO

El Responsable tendrá que aplicar las  medidas  con anterioridad al inicio de los tratamientos y también mientras se estén desarrollando.

Este enfoque es el que promueve el RGPD, de responsabilidad proactiva. Se tiene que pensar en el tratamiento de datos personales desde diseño del tratamiento, producto o servicio.

 

OBLIGACIONES

Desde el primer momento tendrán los responsables que adoptar las medidas técnicas y organizativas para añadir en los tratamientos garantías que permitan cumplir con lo establecido en el RGPD.