Registro de actividades de tratamiento: lo que debes saber
¿Está tu empresa obligada a llevar a cabo el registro de actividades de tratamiento? Puede que sí. O también podría suceder que no tuviese que asumir esta obligación, pero se prefiera hacerlo proactivamente, siguiendo la recomendación general para la mejora de los niveles de seguridad de datos del RGPD. En cualquiera de los dos casos, es importante saber cómo afrontar este registro.
Registro de actividades de tratamiento: cómo cumplir con la obligación
Las notificaciones a la Agencia Española de Protección de datos quedaron sustituidas, en 2018, por la obligación de llevar a cabo el registro de actividades de tratamiento. Puede ser que tu empresa esté obligada si tiene más de 250 trabajadores en plantilla, excepto si el tratamiento:
- Incluye información relacionada con infracciones penales o condenas judiciales.
- Puede entrañar un riesgo para las libertades y derechos del interesado.
- Comprenda categorías de datos especiales por motivos genéticos, étnicos, biométricos, de orientación sexual o convicciones religiosas, entre otros.
Los sujetos de la obligación quedan definidos en el artículo 30 del RGPD. En el Reglamento también se indica el modo de proceder al registro de actividades de tratamiento de datos. Uno de los detalles a tener en cuenta es el tipo de información que se ha de incluir, siempre por escrito y, preferiblemente, en formato digital:
- Objetivo que se persigue con el tratamiento.
- Nombre y datos de contacto del responsable del tratamiento.
- Categorías de destinatarios de la información personal, especificando a quienes irá dirigida, incluso si se trata de personas o entidades fuera del territorio nacional. Cada una de estas categorías deberá constar junto con una descripción.
- Plazos estimados para la cancelación de determinadas categorías.
- Información acerca de las transferencias de datos, incluyendo documentación relativa y mesuras adoptadas.
- Descripción de las medidas técnicas y organizativas de seguridad aplicadas con el fin de garantizar la integridad y confidencialidad de los datos.
El registro de actividades de tratamiento permanecerá en la empresa, debidamente custodiado y quedará disponible a la Autoridad, en los casos en que ésta lo requiera para llevar a cabo su control.
En la práctica, para gestionar adecuadamente todo lo relativo al registro de actividades de tratamiento se recomienda acudir a la web de la AEPD (Agencia Española de Protección de Datos) donde pueden resolverse dudas. Ahí mismo se encuentra también un documento de gran utilidad, la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento y tres infografías que pueden agilizar los procesos, aportando información relevante acerca de el RGPD, los derechos que el Reglamento de Protección de Datos garantiza a los ciudadanos y las claves para la adaptación al RGPD en el sector privado.
¿Ya conoces los puntos básicos que has de tener en cuenta para proceder al registro de actividades de tratamiento en tu empresa? ¿Eres consciente de la importancia de cumplir con estos requisitos para la imagen, prestigio y confiabilidad de tu negocio?