Artículo 30

Registro de las actividades de tratamiento

1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

(a)

el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

(b)

los fines del tratamiento;

(c)

una descripción de las categorías de interesados y de las categorías de datos personales;

(d)

las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

(e)

en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

(f)

cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

(g)

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

(a)

el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

(b)

las categorías de tratamientos efectuados por cuenta de cada responsable;

(c)

en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

(d)

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

¿Qué significa?

El objetivo de mantener un registro de sus actividades de tratamiento es crear una visión general del uso de los datos personales. Esta visión general es el primer paso para garantizar el correcto tratamiento de los datos personales.

Los registros ilustrarán quién tiene acceso a sus datos interna y externamente. Esta información le permitirá tomar medidas para garantizar el correcto tratamiento de los datos personales.

Es fácil malinterpretar la redacción de estas normas, ya que a primera vista el apartado 5 del artículo 30 podría eximirle de esta importante exigencia para su negocio. La mayoría de las empresas tienen menos de 250 empleados, pero tener menos de 250 no significa que esté exento de mantener un registro de sus actividades tratamiento.

Supongamos que realiza un tratamiento datos no ocasional, por ejemplo, la gestión de salarios o el servicio de atención al cliente. En ese caso, sigue teniendo que mantener un registro de sus actividades de tratamiento.

Lo mismo ocurre cuando se trata datos personales sensibles, por ejemplo, datos de salud, o si tratamiento puede suponer un riesgo para los derechos y la libertad de las personas, como sería el caso de la utilización de sistemas de geolocalización o videovigilancia.

Sí, es posible crear usted mismo sus registros de actividades de tratamiento. Tenga cuidado, ya que se requiere un cierto conocimiento de las reglas para hacer el ejercicio correctamente. Hacer este ejercicio puede beneficiar a su empresa de varias maneras. Le proporciona una visión general de todos los tratemientos de los datos personales. Esta visión general es esencial para el cumplimiento del RGPD e información relevante para crear una mejor visión general de sus tratamientos de los datos personales.

  1. Puede contratar a un profesional para que le guíe correctamente en este tratamiento.
  2. Podría comprar acceso a un software del RGPD que le ayude a trazar sus actividades de tratamiento acuerdo con las normas.
  3. Puedes hacerlo tú mismo.

Se recomienda delegar el cumplimiento del RGPD en un empleado clave de su organización. La delegación garantiza que todos los conocimientos y la coordinación se centralicen en un solo empleado.

Debe conservar una copia de sus registros de actividades de tratamiento por escrito, que puede ser electrónica.

Debe actualizar sus registros de actividades de tratamiento cada vez que un tratamiento cambie o cuando implemente un nuevo sistema informático.

Cada vez que cambie un tratamiento empresarial que implique el tratamiento de datos personales, debe evaluar cómo se ve afectado el tratamiento datos personales. Si la tratamiento ha cambiado, deberá actualizar sus registros en consecuencia.

Un tratemiento puede requerir muchos sistemas diferentes, y un sistema informático puede utilizarse en diferentes tratamientos de datos personales.

El servicio de atención al cliente puede utilizar varios sistemas informáticos: correo electrónico, chat y CRM. Todos los tratamientos de la empresa pueden utilizar un sistema informático, por ejemplo, el correo electrónico.

No es obligatorio, pero sería útil para el cumplimiento del RGPD.

Disponer de un registro separado para sus sistemas informáticos y los tratemientos que se utilizan le ayudará a mantener la conformidad en la práctica. De acuerdo con el RGPD, debe demostrar que cumple con el reglamento según el artículo 5 (2). Un registro de todos sus sistemas informáticos y el cumplimiento de cada uno de ellos le ayudaría a demostrar el cumplimiento de, por ejemplo, los artículos 25 y 32 sobre seguridad.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About