REGISTRO DE ACTIVIDADES DE TRATAMIENTO
OBLIGACIÓN
Los responsables y encargados deben cumplir con nuevas obligaciones de documentación como es mantener un registro de operaciones de tratamiento. Dicho registro debe contener la información establecida en el art. 30 del RGPD y debe contener datos como:
- Nombre y datos de contacto del Responsable o corresponsable, y del Delegado de Protección de Datos, si lo hay.
- Finalidad del tratamiento.
- Descripción de categorías de interesados y categorías de datos tratados.
- Transferencias internacionales de datos.
- Cuando sea posible, plazos previstos para la supresión de los datos.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Se encuentran exentas de esta obligación las organizaciones que empleen a menos de 250 trabajadores:
- a no ser que el tratamiento realizado entrañe un riesgo para los derechos y las libertades de los interesados,
- no sea el tratamiento ocasional,
- o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.
RECOMENDACIÓN
La mejor forma de cumplir con esta obligación es partiendo de la base de los ficheros que los responsables actualmente tienen notificados en el Registro General de Protección de Datos, especificando la totalidad de operaciones que se realizan sobre cada conjunto estructurado de datos.
También se puede organizar el registro alrededor de operaciones de tratamiento concretas vinculadas a una finalidad genérica común, como puede ser la gestión de clientes, gestión contable o gestión de los recursos humanos o cualquier otro criterio diferente.
PROTECCIÓN DE DATOS DESDE DISEÑO Y POR DEFECTO
El Responsable tendrá que aplicar las medidas con anterioridad al inicio de los tratamientos y también mientras se estén desarrollando.
Este enfoque es el que promueve el RGPD, de responsabilidad proactiva. Se tiene que pensar en el tratamiento de datos personales desde diseño del tratamiento, producto o servicio.
OBLIGACIONES
Desde el primer momento tendrán los responsables que adoptar las medidas técnicas y organizativas para añadir en los tratamientos garantías que permitan cumplir con lo establecido en el RGPD.