Una semana más seguimos con nuestro análisis del RGPD, en esta ocasión para centrarnos en el registro de las actividades de tratamiento.
El Reglamento dispone en su considerando 82 que “para demostrar la conformidad y cumplimiento del mismo, tanto el responsable como el encargado de tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad”.
Así, responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.
En la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” publicada recientemente por la AEPD, se enuncian como posibilidades para organizar el registro de actividades de tratamiento las siguientes:
– Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos.
– En torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas o con arreglo a otros criterios distintos.
Además, en aras de facilitar a los responsables la constitución de estos registros, la AEPD permitirá que con antelación suficiente a la fecha de aplicación del RGPD, los responsables puedan obtener de forma automatizada toda la información acerca de sus propios ficheros o tratamientos notificados al Registro General.
Por otra parte, el art. 30 establece expresamente el contenido que ambos registros deben incluir, enunciando de forma diferenciada el registro del responsable y el del encargado del tratamiento.
El contenido de este registro en el caso de responsables es:
-Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos;
-Fines del tratamiento.
-Descripción de categorías de interesados y datos.
-Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
-Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
-Cuando sea posible:
– Plazos previstos para supresión de datos.
– Descripción general de medidas de seguridad art. 32.
El registro que debe llevar el encargado debe contener la siguiente información:
-Identificación y datos de contacto del encargado, de cada responsable por cuenta del cual actúe, del representante del encargado o del responsable, y del delegado de protección de datos.
-Las categorías de los tratamientos efectuados por cuenta del responsable.
-Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
-Cuando sea posible, una descripción general de medidas de seguridad art. 32.
En ambos casos, los registros deberán constar siempre por escrito, siendo también válidos en formato electrónico.
Por último, y sin perjuicio de todo lo anterior, el Reglamento establece una excepción a la llevanza de este registro de tratamientos. Así, no será necesario el registro de actividades de tratamiento para las empresas u organizaciones que empleen a menos de 250 trabajadores, a menos que se de alguna de las siguientes condiciones:
– que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados;
– que no sea ocasional, o
– que incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales