¿Qué son los registros de actividades de tratamiento?

De conformidad con el artículo 30 RGPD, es obligatorio llevar un registro de las actividades de tratamiento.

El registro de actividades de tratamiento describe el tratamiento datos personales dentro de una organización y los detalles de dicho tratamiento. Su objetivo es garantizar que las organizaciones sean transparentes y responsables de sus actividades de tratamiento datos, y demostrar el cumplimiento del RGPD.

El registro sirve de referencia central para todas las actividades de tratamiento datos y debe actualizarse periódicamente para garantizar su exactitud e integridad. Mantener un registro de las actividades de tratamiento es crucial para que las organizaciones cumplan con sus obligaciones en virtud del RGPD y demuestren su cumplimiento a los reguladores y otras partes interesadas.

¿Por qué llevar un registro de las actividades de tratamiento?

El artículo 30 RGPD exige que las organizaciones mantengan un registro de las actividades de tratamiento, lo que constituye un requisito legal.

El registro de actividades de tratamiento sirve como herramienta de gestión para la protección de datos al proporcionar una visión general del tratamiento. Cuando el tratamiento datos personales se asigna a este registro, ayuda a cumplir otros requisitos del RGPD, como la aplicación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, como exige el artículo 32.

El registro se convertirá en la herramienta de gestión para alinear los esfuerzos de la organización en su cumplimiento RGPD.

Exenciones para disponer de un registro de actividades de tratamiento.

El artículo 30(4) exime a las organizaciones con menos de 250 empleados de tener que llevar registros de las actividades de tratamiento, pero sólo si su tratamiento datos personales no lo hace:

• supongan un riesgo para los derechos y libertades de los interesados,
• ocurren sólo ocasionalmente, o
• impliquen categorías especiales de datos, según lo dispuesto en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales, según lo dispuesto en el artículo 10.

En la práctica, estas exenciones rara vez son pertinentes, ya que los legisladores consideran que la gestión de salarios o el tratamiento datos de clientes son tratamiento no ocasionales de datos personales.

La mayoría de las empresas tienen clientes, empleados o visitantes en su sitio web, lo que hace que la exención sea difícil de utilizar en la práctica, ya que incluso una sociedad holding puede tener un sitio web.

Además, esta exención no eximiría a una organización del cumplimiento de otros requisitos RGPD. Dado que el registro de actividades de tratamiento es una excelente herramienta para cumplir con las normas RGPD, no tenerlo sería contraproducente para los esfuerzos de cumplimiento RGPD de una organización.

Para que quede claro, debe mantener un registro de las actividades de tratamiento. Es poco probable que esté exento de esto, y mantener un registro también es necesario para cumplir con las otras reglas del RGPD.

Artículo 30: Registro de las actividades de tratamiento

An organization, whether a data controller or a data processor, must keep a record of their processing activities. Estos registros deben constar por escrito y ponerse a disposición de la autoridad de control a petición de ésta.

Las dos secciones siguientes describen los requisitos relativos a los registros de actividades de tratamiento para responsables y encargados del tratamiento tratamiento, respectivamente.

Responsable del tratamiento: Los Registros de Actividades de Tratamiento

El artículo 30, apartado 1, RGPD establece los requisitos mínimos de la información que debe incluirse en sus registros de actividades de tratamiento cuando actúa como responsable del tratamiento tratamiento.

Estos requisitos mínimos son los siguientes:

1. Anote el nombre y los datos de contacto de su organización para que los interesados sepan quién es el responsable del tratamiento del tratamiento sus datos. Si determina la finalidad y los medios del tratamiento conjuntamente con otro responsable del tratamiento, es decir, otra organización, deberá mencionar también sus datos de contacto. En caso de que haya designado a un responsable de la protección de datos, también deberá indicar los datos de contacto.
2. Describa todos los fines del tratamiento datos personales.
3. Describa las categorías de interesados, por ejemplo, visitantes del sitio web o solicitantes de empleo. También debe describir las categorías de datos personales, por ejemplo, categorías especiales de datos personales o datos personales generales, y los tipos de datos específicos dentro de estas categorías.
4. Describa las categorías de destinatarios a los que revelará datos personales, que podrían ser una filial de la empresa, un socio comercial, una agencia tributaria, etc. Lo mismo ocurre con los beneficiarios de terceros países o de organizaciones internacionales.
5. Describa las transferencias de datos personales a terceros países u organizaciones internacionales y, si procede, la documentación de las garantías adecuadas.
6. Describa los criterios o plazos para borrar las distintas categorías de datos personales; por ejemplo, ¿cuándo borraría los datos de un candidato a un puesto de trabajo si éste no lo obtuviera?
7. Haga una descripción general de las medidas de seguridad para garantizar un nivel de seguridad adecuado al riesgo.

Responsable del tratamiento: Los Registros de Actividades de Tratamiento

Un encargado del tratamiento debe mantener un registro de las actividades tratamiento que realiza por cuenta del responsable del tratamiento. Estos requisitos difieren ligeramente de los del responsable del tratamiento y se recogen en el artículo 30, apartado 2, del RGPD.

Los requisitos para el registro de las actividades de tratamiento son los siguientes para los encargados del tratamiento:

1. Anote el nombre y los datos de contacto del encargado del tratamiento y del responsable del tratamiento por cuenta del cual actúa el encargado.
2. Describa las actividades de tratamiento realizadas por cuenta del responsable del tratamiento.
3. Describa las transferencias de datos personales a terceros países u organizaciones internacionales.
4. Haga una descripción general de las medidas de seguridad para garantizar un nivel de seguridad adecuado al riesgo.

Cuando mencionemos los registros de actividades de tratamiento en adelante, nos referiremos principalmente a los registros de actividades de tratamiento del responsable del tratamiento.

Los Registros de Actividades de Tratamiento y Complementos

Para que el cumplimiento RGPD sea más manejable, recomendamos añadir categorías adicionales a sus registros de actividades de tratamiento. Aunque el artículo 30 esboza ciertas normas de cumplimiento y documentación, el RGPD contiene muchos más requisitos. El registro de las actividades de tratamiento es una herramienta excelente para documentar el cumplimiento de todas estas normas.

Ampliar el registro de actividades de tratamiento para incluir sujetos de cumplimiento adicionales puede ayudarle a aplicar mejor RGPD y documentar su cumplimiento. Aunque esto pueda parecer más trabajo al principio, a la larga le ahorrará tiempo.

Una de las complejidades del cumplimiento RGPD es el requisito de documentar el cumplimiento de todas las normas. Esto puede ser una tarea aparentemente imposible para las pequeñas empresas, pero adaptando los registros de las actividades de tratamiento, puede gestionar la documentación de su cumplimiento de forma más eficaz.

Recomendamos mantener un registro de las actividades de tratamiento que abarque todas las secciones siguientes.

1) Actividades de tratamiento

El primer paso para crear sus registros de actividades de tratamiento es asignar y definir todas sus actividades de tratamiento. En primer lugar, debe describir todos los procesos de su empresa en los que se tratan datos personales.

Debe definir y denominar sus actividades de tratamiento forma que tengan sentido desde una perspectiva empresarial y puedan distinguirse de otras actividades de tratamiento, para no mezclarlas.

Por ejemplo, una actividad de tratamiento podría ser “atención al cliente” o “promoción de ventas”. Dado que estas actividades son distintas entre sí y que las llevarían a cabo distintos empleados en equipos diferentes, desde el punto de vista empresarial tiene sentido documentarlas como dos actividades de tratamiento separadas.

La actividad de tratamiento “atención al cliente” implica tratamiento datos personales de clientes existentes, mientras que la “promoción de ventas” implica tratamiento datos personales para captar nuevos clientes.

También sirven para fines distintos y tendrán premisas jurídicas diferentes.

Una empresa típica con 50 empleados puede tener hasta 30 actividades de tratamiento, mientras que una empresa con 1.500 empleados podría tener hasta 100. La definición de actividades de tratamiento puede variar y es en parte subjetiva, ya que las empresas tienen necesidades individuales.

Definir las actividades de tratamiento una manera significativa es la base del cumplimiento RGPD. La documentación RGPD GPD se basará en estas actividades, y deben ser el principal motor de la implantación RGPD en su organización para cubrir todos sus procesos. Encontrará más información al respecto en otro sitio.

2) Equipo

Algunas actividades de tratamiento están relacionadas, ya que pueden referirse al mismo tema general. Por ejemplo, el equipo de RRHH puede realizar las siguientes actividades de tratamiento:

• Solicitudes de empleo
• Solicitudes de empleo no solicitadas.
• Cazatalentos
• Incorporación de nuevos empleados
• Evaluaciones del rendimiento de los empleados
• Despido de empleados
• …Y muchas más actividades de tratamiento.

Tiene sentido tenerlas como actividades de tratamiento separadas en su RoPA, y no agruparlas en una gran actividad de tratamiento llamada *Recursos Humanos”.

Los fines de la tratamiento solicitudes de empleo para una vacante y el despido de un trabajador son claramente diferenciables, y no tendría sentido intentar tratarlos de la misma manera.

Sin embargo, sigue teniendo sentido categorizarlos dentro de una categoría empresarial general como “Recursos Humanos”, ya que el equipo de Recursos Humanos es, en última instancia, el equipo responsable de estos procesos dentro de su organización.

Por lo tanto, tiene sentido añadir una categoría empresarial pertinente a sus registros de actividades de tratamiento, por ejemplo

• Ventas
• Marketing
• Asistencia al cliente
• Finanzas
• Recursos Humanos
• TI
• Etc.

En la práctica, el responsable de cada una de estas categorías de negocio sería responsable de definir las actividades de tratamiento dentro de su equipo y de cumplir con RGPD para estos procesos.

Delegar esta responsabilidad en los jefes de equipo y los empleados es en realidad una parte muy importante del cumplimiento RGPD en la práctica, y es algo que muchas empresas no hacen.

3) Descripción de la actividad de tratamiento

Le recomendamos que describa cada una de las actividades de tratamiento con el mayor detalle posible y centrándose en el tratamiento datos personales. Esta descripción le ayudará a aclarar cómo define la actividad de tratamiento y le ayudará a distinguirla de otras actividades de tratamiento.

La descripción también le servirá cuando tenga que volver para actualizar este registro de actividad de tratamiento. Además, ayudará a cualquier persona que lea sus registros de actividades de tratamiento y que no haya definido la actividad por sí misma, por ejemplo, su director general o las partes interesadas de la organización.

4) Responsable o encargado del tratamiento

Como se mencionó al principio, hay una diferencia en los requisitos para mantener un registro de las actividades de tratamiento si usted es un responsable del tratamiento o un procesador de datos. Por lo tanto, debe indicar si es responsable del tratamiento o encargado del tratamiento para cada actividad de tratamiento. Esto le ayudará a identificar sus obligaciones para las distintas actividades cuando consulte los registros de actividades de tratamiento.

Por ejemplo, cuando tratar datos personales como encargado del tratamiento, debe seguir los procedimientos del responsable del tratamiento tratamiento, ya que simplemente está tratamiento datos personales en su nombre. Si cree que puede estar tratamiento datos personales en nombre de otra persona, debería leer sobre el “encargado del tratamiento“.

5) Finalidad del tratamiento

Definir el propósito de sus actividades de tratamiento no solo es un requisito, sino que también puede ser útil para cumplir con RGPD. Según los artículos 12 a 14, los fines de sus actividades de tratamiento deben comunicarse a los interesados cuando recoja sus datos y, por lo tanto, estos fines también deben incluirse en su política de privacidad.

En el tratar de definición de los fines de las actividades de tratamiento puede parecer repetitivo, ya que algunos de estos procesos son similares y pueden solaparse ligeramente.

Si define los fines de dos actividades de tratamiento y descubre que son muy similares, esto podría indicar que necesita combinarlas en una sola actividad. Sin embargo, no es un requisito.

Ejemplo: Atención al cliente

Si nos fijamos en la finalidad del tratamiento datos personales para la “asistencia al cliente”, está claro que necesita datos personales básicos para prestarles la asistencia requerida. Deberá identificar al cliente y su historial de compras. En este caso, la finalidad del tratamiento los datos personales de los clientes sería;

• Para asegurarse de que ha identificado al cliente correcto,
• Ofrecer un buen servicio,
• y, lo que es más importante, cumplir las condiciones del acuerdo de compra.

6) Otros fines

También debe tener en cuenta si está tratamiento datos personales para fines distintos de los originales. Si tiene intención de seguir tratar los datos, deberá informar de ello al interesado en el momento de obtener los datos personales, de conformidad con el apartado 3 del artículo 13.

7) Activos de información y procesadores de datos

El RGPD exige que tratar los datos personales de forma adecuada. El tratamiento de datos personales suele implicar el uso de algún tipo de programa informático, ya sea propio, externo o de un proveedor de servicios.

Por lo tanto, le sugerimos que añada información sobre la ubicación de su tratamiento datos a sus Registros de actividades de tratamiento.

Para cada actividad de tratamiento, debe especificar los activos de información que se utilizan para tratar la información.

Utilizamos el término “activos de información” para referirnos a los activos que contienen información, como los datos personales. Esto incluye sistemas de software, sitios web, hojas de Excel, unidades de almacenamiento de datos, sistemas de ficheros, unidades de disco, clientes de correo, archivos y otros activos utilizados para tratar información.

Algunos activos de información pueden ser software como servicio (SaaS), lo que significa que la información es procesada por terceros. Esto significa a menudo que estas partes externas son encargados del tratamiento, pero tendríamos que comprobarlo en todos los casos para confirmarlo.

Ciertas actividades de tratamiento se subcontratan a menudo a consultores externos, como contables o agencias de marketing. Estas personas se consideran encargados del tratamiento tratamiento porque realizan el tratamiento por cuenta del responsable del tratamiento.

Es importante determinar si encargados del tratamiento participan en las actividades de tratamiento para garantizar que el tratamiento datos cumple con RGPD cuando se lleva a cabo en su nombre.

Mapear sus activos de información y encargados del tratamiento puede ayudar a su empresa a comprender los flujos de datos dentro de los sistemas y garantizar una gestión adecuada. Este mapeo también proporciona una visión organizada de los contratos y proveedores, lo que puede mejorar la gestión de compras y contratos.

8) Volumen de datos

Para todas las actividades de tratamiento de datos, es importante anotar el número de personas cuyos datos se están tratando y añadir esta información a su Registro de Actividades de Tratamiento (RoPA). Esto aclarará la importancia y prioridad de la actividad en sus esfuerzos de cumplimiento RGPD, y le ayudará con su evaluación de riesgos. Una aproximación al volumen de datos es suficiente, así que no hay necesidad de enredarse en los detalles.

El volumen de datos también proporciona información valiosa a la dirección de la empresa sobre la distribución tratamiento datos entre cada actividad de tratamiento.

9) Datos personales

Debe enumerar todos los tipos de datos personales que se tratan en cada actividad. Esto garantizará la total transparencia de la actividad de tratamiento. Además, esta información puede utilizarse para cumplir su obligación de informar a los interesados de su tratamiento y para su evaluación de riesgos de la actividad.

He aquí algunas sugerencias sobre los tipos de datos personales que podrían añadirse:

• Nombre
• Apellido
• Segundo nombre
• Género
• Raza u origen étnico
• Estado civil
• Ocupación
• Puesto
• Nombre de la empresa
• Dirección de correo electrónico del trabajo
• Teléfono de trabajo
• Teléfono particular
• Información de contacto en caso de emergencia
• Diagnósticos médicos
• Información sobre el tratamiento médico
• Información sobre la prescripción
• Datos de geolocalización

Esta transparencia le hará más consciente de dónde y cómo tratar los datos, y de si es necesario tratar dada la finalidad de la actividad.

10) Categorías de interesados

Debe describir las categorías de interesados en los registros de actividades de tratamiento.

Ejemplos de categorías de interesados podrían ser:

• Menores de 16 años.
• Clientes
• Pensionistas
• Pacientes
• Delincuentes, etc.

Esta información es útil desde el punto de vista del cumplimiento de la normativa, ya que determinadas categorías de interesados requieren un mayor cuidado en el tratamiento sus datos. Por ejemplo, el tratamiento datos de menores de 16 años puede suponer un mayor riesgo y requerir una mayor concienciación sobre las implicaciones cuando comparten sus datos.

11) Categorías de datos personales

También debe registrar las categorías de datos personales en los registros de actividades de tratamiento.

Estas categorías de datos personales son:

• Datos personales (o datos personales generales).
• Categorías especiales de datos personales
• Datos personales relativos a condenas e infracciones penales.

Las categorías especiales de datos personales también se denominan datos personales sensibles y abarcan las siguientes categorías:

• Raza y origen étnico
• Creencias políticas
• Creencias religiosas o filosóficas
• Afiliación sindical
• Datos genéticos
• Datos biométricos para una identificación única
• Información sanitaria
• Relaciones sexuales u orientación sexual.

Los datos personales relativos a condenas y delitos penales podrían ser los antecedentes penales de una persona o incluso la dirección del preso, ya que el domicilio estaría en la prisión, y por tanto implicarán que la persona tiene antecedentes penales.

La dirección de correo electrónico, el número de teléfono, la dirección, la cuenta de redes sociales, etc. de una persona son datos de identificación personal, pero estos datos personales no suelen ser sensibles. Estos datos no son sensibles porque no están categorizados como tales en el artículo 9 RGPD.

Debe prestarse especial atención al tratamiento datos personales sensibles. En la práctica, esto implica garantizar que se aplican las medidas adecuadas de conformidad con el artículo 32.

12) Base jurídica del tratamiento

El artículo 30 no establece explícitamente que deba inscribirse la base jurídica del tratamiento datos personales en los registros de actividades de tratamiento. Sin embargo, según los artículos 13-14, debe proporcionar al interesado información sobre la base jurídica del tratamiento en el momento en que se obtienen los datos personales.

Por lo tanto, es una buena práctica dejar constancia de la base jurídica de sus actividades de tratamiento de datos en sus registros de actividades de tratamiento. Esto garantiza que dicha información esté fácilmente disponible para todas sus actividades de tratamiento.

Además, anotar la base jurídica en la RoPA le ayuda a documentar que está cumpliendo con el RGPD, que es un requisito según el artículo 5 del RGPD.

Usted siempre debe tener una base legal para el tratamiento datos personales en el artículo 6 del RGPD – de lo contrario su tratamiento datos personales sería ilegal. Una empresa típica podrá utilizar la siguiente base jurídica para el tratamiento datos personales:

• Artículo 6(a) “consentimiento”.
  • Ejemplo: Cuando alguien se suscribe a su boletín, debe dar su consentimiento para que usted le envíe el boletín por correo electrónico.
• Artículo 6(b) “contrato”.
  • Ejemplo: Al celebrar un contrato con un cliente, a menudo es necesario tratar datos sobre ese cliente.
• Artículo 6(c) “obligaciones legales”.
  • Ejemplo: A efectos contables, la legislación contable le obliga a tratar facturas y documentos similares.
• Artículo 6(f) “intereses legítimos”.
  • Ejemplo: Supervisar la actividad web dentro de una organización puede ser un interés legítimo con fines de seguridad informática.

Datos personales sensibles.

Si tratar datos personales sensibles, debe tener una base jurídica para tratamiento conforme al artículo 9, además del artículo 6. Por lo tanto, es necesaria una base jurídica tanto en el artículo 6 como en el artículo 9 del RGPD.

Esto sugeriría que también debería añadir su premisa legal para el tratamiento datos personales sensibles a sus registros de actividades de tratamiento cuando este pudiera ser el caso.

Una empresa típica puede tratar datos personales sensibles sobre sus empleados si están relacionados con un problema de salud que afecte a la empresa, como la baja por enfermedad de un empleado. También puede ser relevante para la organización registrar si un empleado es miembro de un determinado sindicato. Estos ejemplos de datos personales sensibles pueden tratarse sobre la base jurídica del artículo 9, apartado 2, letra b), ya que el empresario debe cumplir la legislación laboral y sus obligaciones en materia de seguridad social.

13) Leyes relacionadas

Las actividades empresariales se ven a menudo afectadas por diversas leyes, como las normativas laborales, las leyes de construcción o las leyes de consumo, entre otras. Estas leyes pueden obligar a las organizaciones a tratar los datos personales de determinadas formas, como mantener una duración mínima de almacenamiento requerida.

Por lo tanto, sería útil incluir cualquier información sobre la normativa relacionada que cubra la actividad de tratamiento.

14) Fuente de datos

En el contexto del RGPD, es necesario distinguir entre la obtención de datos personales directamente del interesado o de terceros.

Cuando los datos personales se obtengan del interesado, deberá facilitar información sobre el tratamiento los datos personales con arreglo al artículo 13 y, cuando se obtengan por otros medios, con arreglo al artículo 14.

Cuando los datos personales no se hayan obtenido del sujeto, está obligado a informar de qué fuente proceden los datos personales y, en su caso, si proceden de fuentes accesibles al público.

Por tanto, si mantiene un registro de esta información, podrá utilizarla como indicador de la información que debe facilitar al interesado al obtener sus datos.

Será su lista de comprobación sobre cómo cumplir los artículos 13 y 14 en todas sus actividades de tratamiento.

15) Métodos de recogida de datos

El requisito de los artículos 13-14 es que usted proporcione información al interesado en el momento de recoger sus datos para la actividad de tratamiento. Por lo tanto, debe hacer un seguimiento de cómo facilita esta información en la práctica, para poder garantizar el cumplimiento en estos casos.

Por ejemplo, los datos recogidos podrían obtenerse de un formulario de contacto de un sitio web, cuando un cliente se suscribe al boletín de noticias. También podría obtenerse a través de una conversación telefónica entre un agente del servicio de atención al cliente y un cliente que presenta una queja.

Registrar las fuentes de datos en sus registros de actividades de tratamiento añade transparencia a su actividad de tratamiento y le permite proporcionar información adicional a los interesados, como un enlace a su política de privacidad.

El RGPD le exige que documente su cumplimiento. Al mantener un registro de las fuentes utilizadas en las actividades de tratamiento, puede mejorar su documentación de cumplimiento RGPD.

También debe asegurarse de que sus sistemas de software están correctamente configurados para proporcionar información al interesado y de que el tratar de suministro de esta información cumple con RGPD. Por ejemplo, si tratamiento basa en el consentimiento, debe poder demostrar que el interesado ha dado su consentimiento para tratar sus datos, y que usted le ha facilitado información sobre el tratamiento sus datos en el momento de recabarlos.

16) ¿Cómo se facilita la información al interesado?

Es necesario proporcionar información al interesado cuando se recogen sus datos personales y, para gestionarlo eficazmente, debe especificar cómo se hace.

Es probable que sus actividades de tratamiento tengan distintas formas de recoger los datos y, por tanto, también distintas formas de proporcionar la información necesaria a los interesados.

Una forma de informar al interesado de esta confirmación en un intercambio de correo electrónico podría ser proporcionar un enlace a su política de privacidad a través de su firma de correo. En atención al cliente, podría ser un enlace a su política de privacidad a través de un módulo de chat antes de que se inicie el chat.

Hay muchas otras formas, y dependen de su tratamiento datos específico.

Añadir esta información a sus registros de actividades de tratamiento le ayuda a documentar el cumplimiento RGPD.

17) Divulgación de datos personales

Si tiene previsto revelar datos a otro destinatario, debe informar al interesado a más tardar en el momento de la primera revelación de los datos personales.

Ejemplo de divulgación: Un médico puede tener que revelar el historial médico de un paciente a una compañía de seguros o a la seguridad social para que el paciente reciba una ayuda.

La información sobre la divulgación debe añadirse a su política de privacidad si divulga los datos a otros destinatarios, por lo que sería útil añadirla a los registros de actividades de tratamiento.

18) Acceso de terceros a los datos personales

¿Contrata consultores de marketing, contabilidad, informática, inteligencia artificial o abogados? Entonces podrían acceder a los datos personales de su empresa al prestar su servicio.

Son partes externas, ya que no están empleadas en su organización. Como las partes externas no forman parte de su organización, debe limitar su acceso a los datos personales bajo su control. Además, cualquier parte externa tratamiento datos personales bajo su control debe recibir directrices sobre cómo tratar datos personales, recibir formación sobre estas directrices y rendir cuentas mediante un contrato.

Considere si las partes externas que tratar datos personales en su nombre están clasificadas como encargados del tratamiento. Si lo son, tendrá que cumplir las normas RGPD que se aplican a los encargados del tratamiento. Entre otras cosas, tendrá que firmar un acuerdo de tratamiento datos.

Las partes externas también podrían ser simplemente contratistas que tienen acceso a datos personales, pero sin que el tratamiento los datos sea la finalidad de su trabajo, es decir. no serían encargados del tratamiento. Este podría ser el caso de profesionales ocasionales de reparación de hardware, informáticos, autónomos de marketing, abogados, contables, trabajadores temporales, etc.

Estos contratistas están a medio camino entre ser encargados del tratamiento, empleados y controladores por derecho propio. Para garantizar la responsabilidad y el cumplimiento de sus políticas de tratamiento datos personales, puede hacer que el contratista firme un acuerdo de confidencialidad.

Es importante documentar en sus registros cuándo las partes externas tienen acceso a sus actividades de tratamiento. Esto le permite evaluar las funciones de cada profesional implicado en las actividades de tratamiento. Al hacerlo, sus registros de actividades de tratamiento pueden convertirse en una herramienta de gestión útil para el cumplimiento RGPD.

19) Transferencias a terceros países

Los terceros países, con respecto al RGPD, se refieren a cualquier país fuera de la UE o del EEE (Noruega, Islandia, Liechtenstein).

Ejemplos de terceros países son Estados Unidos, China, India, Australia, Canadá y muchos otros.

Se produce una transferencia de datos personales cuando éstos se tratan en terceros países. Esto podría implicar tener acceso de lectura, almacenar información o editar información.

Muchas soluciones de software de uso común son propiedad de empresas con sede en Estados Unidos o hacen uso de servidores alojados en empresas con sede en Estados Unidos, como Amazon Web Services, Microsoft Azure o Google Cloud, para tratar sus datos. El uso de estas soluciones suele implicar la transferencia de datos personales a un tercer país, lo que indica que estas transferencias son habituales.

Cuando se transfieren datos personales a terceros países, es necesario tener una base jurídica para hacerlo. Por lo tanto, es importante evaluar todas las actividades de tratamiento para las transferencias a terceros países, incluidas las transferencias a socios, subdivisiones, contratistas, proveedores de software, etc., que estén situados en terceros países.

20) Fundamento jurídico de la transferencia a un tercer país

Si ha determinado que transfiere datos a terceros países, tendrá que determinar cómo cumplir las condiciones especificadas en el capítulo 5 del RGPD. Estas condiciones le exigen una base jurídica para cualquier transferencia a terceros países.

El capítulo 5 del RGPD establece las siguientes bases jurídicas para las transferencias a terceros países:

• Artículo 45: Transferencias basadas en una decisión de adecuación
• Artículo 46: Transferencias mediante garantías adecuadas
• Artículo 47: Normas corporativas vinculantes
• Artículo 48: Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
• Artículo 49: Excepciones para situaciones específicas

Se trata de un tema complejo, pero para la mayoría de las pequeñas empresas, las transferencias se realizan sobre la base de una decisión de adecuación (artículo 45) o con las salvaguardias adecuadas (artículo 46).

21) Limitación de almacenamiento

Al documentar sus actividades de tratamiento, es obligatorio documentar los“plazos previstos para la supresión de las distintas categorías de datos“. Por lo tanto, debe incluir esta información para todas sus actividades de tratamiento.

El RGPD también exige la supresión de los datos personales una vez que ya no sean necesarios para los fines tratamiento, de conformidad con el principio de limitación del almacenamiento recogido en el artículo 5.

Las limitaciones al almacenamiento de datos personales pueden suponer un reto para las empresas, por lo que es importante abordarlas con diligencia.

Para garantizar el cumplimiento RGPD en su flujo de trabajo diario, también debe determinar cómo eliminar estos datos. Hay que tener en cuenta dos aspectos:

• ¿Qué acontecimiento o acción indica que el tratamiento datos personales ya no es necesario para una actividad de tratamiento?
  • Por ejemplo, cuando un usuario cancela una suscripción de pago.
• ¿Durante cuánto tiempo se almacenarán los datos personales tras el suceso desencadenante?
  • Por ejemplo, el perfil del usuario se borrará inmediatamente después de la cancelación.

Establecer el periodo de conservación

Debe establecer un periodo de conservación para las actividades de tratamiento, de modo que se garantice que los datos personales no se almacenan cuando los fines tratamiento ya no son válidos.

El periodo de conservación de los datos personales puede venir determinado por diversos factores, como requisitos legales, directrices del sector empresarial o una evaluación adecuada del momento en que ya no necesita tratar los datos personales para su actividad de tratamiento.

Por ejemplo, el periodo de conservación puede ser tan corto como 0 días o tan largo como 5 años, tras los cuales tendrá que borrar los datos.

Una vez determinado el periodo de conservación, la siguiente pregunta que hay que plantearse es: ¿qué desencadena el inicio del periodo de conservación?

Establecer activadores de retención

Es importante determinar el desencadenante de cuándo empezar a contar el periodo de conservación para tratar adecuadamente los datos personales. Una vez que se produce el evento desencadenante, el reloj del periodo de retención debería empezar a funcionar.

Ejemplos:

• Un usuario cancela una suscripción de pago.
• Se cancela una suscripción al boletín.
• Se publica un informe anual.
• Se ha prestado y completado un servicio para el cliente.

Estos eventos deben activar sus políticas de supresión para cada uno de estos procesos, de modo que los datos personales se supriman cuando ya no sean necesarios.

Documentar el borrado

Para cumplir con el principio de limitación de almacenamiento RGPD, es importante eliminar los datos personales de sus sistemas y documentar el tratar, ya que documentar el cumplimiento es un requisito en sí mismo.

Al añadir la información mencionada a sus registros de actividades de tratamiento, habrá avanzado en la documentación de la supresión. Sin embargo, para cumplir plenamente con la normativa RGPD, también debe incluir un procedimiento de eliminación en su plan de cumplimiento de RGPD.

Un procedimiento de borrado puede ayudarte a ti y a tus colegas a garantizar que los datos se eliminan de forma permanente e irrecuperable. El procedimiento debe incluir una descripción del tratar técnico de borrado, quién lo ha realizado, cuándo debe borrarse, cuándo se ha hecho y el método utilizado. Esto es especialmente importante cuando los datos se guardan en varias ubicaciones o formatos, como un programa de contabilidad o una hoja de Excel.

Puede añadir un enlace a su procedimiento de supresión en los registros de actividades de tratamiento o incluir la descripción directamente en los registros de actividades de tratamiento.

22) Perfiles

La elaboración de perfiles se refiere al tratamiento automatizado de datos personales para analizar o predecir los comportamientos y preferencias de una persona. La elaboración de perfiles puede ser utilizada, por ejemplo, por las compañías de seguros médicos para evaluar los riesgos sanitarios de un cliente, o por los bancos para evaluar la solvencia crediticia.

Si realiza elaboración de perfiles de clientes, empleados, etc., el artículo 30 exige que lo documente en los registros de actividades de tratamiento.

23) Decisiones automáticas

Si toma decisiones automatizadas basadas en elaboración de perfiles, es necesario que lo haga constar en sus registros de actividades de tratamiento.

Además, si toma decisiones automatizadas, debe incluir esta información en su política de privacidad. Esto garantiza que los interesados estén informados de su derecho “a no ser objeto de una decisión basada únicamente en un tratamiento.”

24) Evaluación de riesgos

Aunque el RGPD no establece explícitamente que deba realizar evaluaciones de riesgos de sus actividades de tratamiento, los artículos 24, 25 y 32 le obligan indirectamente a hacerlo.

Estos artículos ordenan que el responsable del tratamiento tenga en cuenta“los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas” y que“el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas“.

Para aplicar las medidas técnicas y organizativas apropiadas requeridas, su empresa debe evaluar qué significa “apropiado” en el contexto de la actividad de tratamiento específica. Esto se conseguirá realizando una evaluación de riesgos de la actividad de tratamiento.

Las evaluaciones de riesgos también son importantes para el cumplimiento RGPD, ya que documentan sus consideraciones. Como tales, deben incluirse en sus Registros de Actividades de Procesamiento, que es su herramienta más importante para cumplir con RGPD.

25) Medidas de seguridad organizativas y técnicas

El artículo 30 también le exige que incluya una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el apartado 1 del artículo 32.

Esto significa que, para cada actividad de tratamiento, debe considerar qué medidas de seguridad garantizarían un nivel adecuado de seguridad a la luz del riesgo de vulneración de los derechos y libertades de los interesados.

Puede añadir esta descripción directamente a sus Registros de Actividades de Tratamiento o enlazar con su Política de Seguridad de la Información, que debería cubrirla. Es importante contar con medidas de seguridad suficientes que cubran cada una de sus actividades de tratamiento.

Recomendamos crear una política general de seguridad de la información que cubra toda la organización. Esta política debe describir sus medidas de seguridad generales, como el uso de cámaras de vigilancia, el acceso a los locales y el software antivirus.

Recomendamos crear una política para cada actividad de tratamiento que describa las medidas y procedimientos de seguridad específicos de dicha actividad. Por ejemplo, una política podría detallar cómo comunicarse con los clientes por correo electrónico. Puede añadir esta política directamente a los Registros de Actividades de Tratamiento, o crear una política separada y enlazar con ella desde la RoPA.

26) Procedimientos

Puede haber varios procedimientos relacionados con una actividad de tratamiento y, para no perderlos de vista, sugerimos añadir un enlace a los registros.

Esto forma parte de su documentación general de cumplimiento y facilitará la gestión.

27) Propietario del proceso

Para cada tratar de sus registros de actividades de tratamiento, debe designar a un propietario tratar y añadir su nombre al registro.

El propietario del tratar será responsable de introducir las medidas de seguridad adecuadas para la actividad de tratamiento y de garantizar que la documentación esté actualizada. No tienen que ser expertos en RGPD, pero deben trabajar en estrecha colaboración con el responsable de RGPD de la empresa.

Cualquier cambio en los procesos debe comprobarse con el responsable RGPD para garantizar que las nuevas prácticas y la documentación cumplen con RGPD.

28) Registro de auditoría

Siempre que realice cambios en sus registros de actividades de tratamiento, deberá incluir, como mínimo, la fecha del cambio y la persona responsable de los cambios. De este modo, demostrará que actualiza constantemente la documentación relativa RGPD RGPD, lo cual es necesario para cumplir la RGPD.

Además, facilitará el diálogo interno en la empresa sobre los cambios en los registros de las actividades de tratamiento, y proporcionará documentación en caso de duda.

29) Tareas pendientes

La creación de registros de las actividades de tratamiento exigirá trazar numerosos procesos, lo que generará tareas continuas RGPD.

Para no perder de vista estas tareas, se recomienda añadirlas al registro junto con las actividades tratamiento específicas a las que se refieren.

Resumen

En este artículo hemos explicado en detalle cómo crear los registros de las actividades de tratamiento, de modo que sea a la vez RGPD y útil para su RGPD. Hemos añadido varios temas a los registros de actividades de tratamiento que consideramos necesarios para RGPD.

Esperamos que reconozca que los registros de las actividades de tratamiento pueden ser fructíferos para su RGPD, y absolutamente necesarios para poder gestionar los requisitos continuos para su organización.