Con la puesta en marcha del nuevo RGPD se eliminó la subida de ficheros a la AEPD y comenzó a hablarse de Registro de Actividades de Tratamiento de Datos, pero realmente sabemos qué es y en qué consiste.
En este artículo vamos a ver qué es el Registro de Actividades de Tratamiento, Qué contiene, Cómo mantenerlo actualizado...
¿QUÉ ES EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO?
El Registro de Actividades de tratamiento es una lista de todos los tratamientos de datos que se gestionan en una entidad y, de forma resumida, explicamos todo lo que hacemos con ellos.
Ejemplo: Clientes, Proveedores, Personal, clientes Potenciales…
Es importante tener claro si los datos que manejamos son Propios o de Terceros, es decir, si el responsable del tratamiento de esos datos es directamente nuestra entidad o si proceden de otro responsable, si es así, tendríamos un doble tratamiento de datos:
· TRATAMIENTOS PROPIOS
· TRATAMIENTOS DE TERCEROS
Según el Artículo 30 del RGPD:
ü Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
ü Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
ü Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
ü El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.
QUIÉN ESTÁ OBLIGADO A HACER EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO
Según el RGPD y la nueva Ley Orgánica de Protección de Datos este registro no es obligatorio cuando la entidad emplee a menos de 250 trabajadores salvo las siguientes excepciones:
Si la entidad realiza tratamientos que:
- Pueden entrañar un riesgo para los derechos y libertades de los interesados
- No sean ocasionales. En el momento en que hay un tratamiento continuado de datos, es obligatorio hacer este registro
- Incluyan categorías especiales de datos
- Se realicen tratamientos de datos relativos a condenas o infracciones penales
Analizando este punto y centrándonos en el 2º punto, prácticamente todas las empresas están obligadas a cumplir con este registro.
¿QUÉ CONTIENE ESTE REGISTRO?
Estos Registros contendrán:
- Nombre y fines
- Legitimación
- Interesados:
- Descripción de las categorías
- Categorías de Interesados
- Categorías de datos personales:
- Datos de identificación
- Otros Tipos de datos
- Categorías Especiales de Datos
- Condenas e infracciones
- Destinatarios
- Transferencias a terceros países u organizaciones internacionales
- Supresión
- Volumen y extensión del tratamiento
- Medidas de seguridad
¿DEBO MANTENERLO ACTUALIZADO?
Este punto es algo que tenemos que tener en cuenta ya que la documentación inicial que tenemos no es para siempre y tenemos que actualizarla siempre y cuando tengamos alguna modificación y no debemos esperar a que cumpla el plazo previsto para la revisión de nuestra documentación.
Es obligación del Responsable o Encargado designado mantener estos registros siempre actualizados y tenerlos a disposición de la Autoridad de Control, AEPD en España, para cuando nos los soliciten en caso de supervisión.
Este registro lo podemos tener tanto en Formato Papel como en Formato Digital, pero, en el caso de solicitud es conveniente tenerlo en formato digital.
¿QUÉ SUCEDE SI NO TENGO EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO EN MI ENTIDAD?
No disponer de este registro, en caso de solicitud, nos puede traer una sanción de las que denominamos infracción grave, y la multa por este incumplimiento puede llegar hasta 20 millones de euros o un 4% de la facturación anual.
CONTRATA AHORA TU PROTECCIÓN DE DATOS Y TE EVITAREMOS SANCIONES INNECESARIAS PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO
Artículo publicado por Elisa Campoy Soler
Consultora Experta y Delegada de Protección de Datos en Grupo Altabir