Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  REGISTRO DE ACTIVIDADES DE TRATAMIENTO

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Como hemos comentado en otros post, la ley de protección de datos está experimentando cambios importantes, ha habido varias modificaciones en su normativa general

14/06/2018

En nuestros post Cambios en la normativa de Protección de Datos y Cambios en la normativa de Protección de Datos II ya explicamos las modificiaciones de la ley de protección de datos, pero uno de los cambios más importantes en el nuevo Reglamento Europeo de Protección de Datos, o RGPD, es el Registro de Actividades de Tratamiento.
 
¿Qué es un Registro de Actividades de Tratamiento?
 
El objetivo de un Registro de Actividades de Tratamiento es conseguir una responsabilidad más activa de las empresas o entidades que tratan con datos personales.
 
Un Registro de Actividades de Tratamiento es una nueva obligación RGPD en el cual se incluye una lista e información resumida de los tratamientos de la entidad. Este registro es un sustituto del ya tradicional “Documento de Seguridad” y se encuentra regulado en el Artículo 30 del RGPD, en el cual se detalla lo siguiente:
  1. Cada responsable de los datos, o su representante, llevarán un registro de las actividades de tratamiento. Si el registro se realiza por el Responsable del fichero deberá contener
    • Nombre y datos de contacto del responsable, corresponsable o del representante del responsable, así como también del delegado de protección de datos.
    • Fines del tratamiento.
    • Descripción de las categorías de interesados y de las de datos personales.
    • Categorías de los destinatarios a quienes se comunicarán esos datos personales, incluso si los destinatarios se encuentran en terceros países u organizaciones internacionales.
    • Si procede, las transferencias de datos personales a otro país u organización internacional, así como la identificación de ese país u organización internacional, y en caso de que la transferencia sea para la ejecución de un contrato entre el interesado y el responsable del tratamiento o bien para la ejecución de medidas precontractuales adoptadas a la solicitud del interesado, esas transferencias deberán incluir la documentación de garantías adecuadas.
    • Cuando sea posible, los plazos que estén previstos para la supresión de las diferentes categorías de datos.
    • Descripción general de las medidas técnicas y organizativas, es decir, teniendo en cuenta la naturaleza, contexto y fines del tratamiento, así como riesgos para los derechos y libertades de las personas físicas, el responsable y encargado de tratamiento aplicarán estas medidas, el objetivo de éstas es garantizar un nivel de seguridad adecuado al riesgo, pueden ser el cifrado de datos personales o poder restaurar el acceso a los datos rápidamente en caso de incidentes.
  2. Cada encargado o su representante deberá llevar un registro de todas las categorías de tratamiento, si el registro lo realiza el encargado, deberá contener: 
    • Nombre y datos de contacto del encargado/s, de cada responsable por cuenta del cual actúe el encargado y del DPO.
    • Categorías de tratamientos.
    • Si procede, las transferencias de datos personales a otro país u organización internacional, así como la identificación de ese país u organización internacional, y en caso de que la transferencia sea para la ejecución de un contrato entre el interesado y el responsable del tratamiento o bien para la ejecución de medidas precontractuales adoptadas a la solicitud del interesado, esas transferencias deberán incluir la documentación de garantías adecuadas.
    • Descripción general de las medidas técnicas y organizativas, es decir, teniendo en cuenta la naturaleza, contexto y fines del tratamiento, así como riesgos para los derechos y libertades de las personas físicas, el responsable y encargado de tratamiento aplicarán estas medidas, el objetivo de éstas es garantizar un nivel de seguridad adecuado al riesgo, pueden ser el cifrado de datos personales o poder restaurar el acceso a los datos rápidamente en caso de incidentes.
    • Los registros de los apartados anteriores (1 y 2) contarán en formato electrónico
    • El responsable del tratamiento o su representante pondrán el registro a disposición de la autoridad de control siempre que lo solicite.
    • Las obligaciones de los apartados 1 y 2 NO se aplicarán a empresas de menos de 250 empleados, en el siguiente apartado explicamos las excepciones de este punto.
¿Quién está obligado a realizar este registro?
 
Para comenzar, como ya se ha comentado anteriormente, no están obligadas las empresas con menos de 250 trabajadores, EXCEPTO
 
Si el tratamiento puede ser un riesgo para los derechos y libertades de los interesados o sean datos especiales, como por ejemplo el origen étnico o racial, opiniones políticas, religiosas, datos de salud, vida sexual o condenas e infracciones penales.
 
¿Cómo tengo que mantener este registro?
 
Los responsables y encargados del tratamiento de los datos, deberán mantener los registros SIEMPRE ACTUALIZADOS. Ambos están obligados a cooperar con la autoridad de control, en España la AEPD (Agencia Española de Protección de Datos), y deberán poner a su disposición cuando se solicite, dichos registros  para que puedan servir para supervisar las operaciones de tratamiento.
 
Como se ha explicado, deberá ser en formato electrónico, aunque es igualmente válido por escrito.
 
¿A qué sanciones me expongo si no realizo este registro?
 
Si tu empresa tiene más de 250 empleados, o se encuentra entre una de las excepciones, y no realiza el Registro de Actividades de Tratamiento, tanto el RGPD como la nueva LOPD lo considerarán una INFRACCIÓN GRAVE, cuyas multas pueden llegar a los 20 millones de euros o bien el 4% de la facturación anual de la empresa.
 
Esperamos que con este pequeño resumen os haya quedado claro en qué consiste el Registro de Actividades de Tratamiento y su importancia, de todas formas, como ya sabéis, nuestros expertos en la materia están a disposición de resolveros cualquier duda que tengáis al respecto, en nuestros servicios de Consultoría LOPD.

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar