REGISTRO DE ACTIVIDADES: Qué es y quien debe realizarlo
Según el nuevo Reglamento General de Protección de datos, que fue de aplicación el 25 de mayo de 2018, elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos. En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.
Según la normativa vigente se establece la obligatoriedad de realizar un registro de actividades a todas aquellas empresas que cumplan con las siguientes circunstancias:
- Que dispongan de una plantilla superior a 250 trabajadores.
- Que el tratamiento incluya categorías de datos personales del artículo 9.1 del RGPD.
- Que el tratamiento contenga datos personales relativos a condenas e infracciones penales del artículo 10 del RGPD.
- Que se realicen habitualmente tratamientos que puedan suponer un riesgo para los interesados.
¿QUÉ INFORMACIÓN DEBE CONTENER EL REGISTRO?
Existen diferencias según sea el caso:
Si lo realiza el responsable de tratamiento debe contener la siguiente información:
- El nombre y los datosde contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
- Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.
En caso de que sea el encargado del tratamiento el que deba llevar un registro de actividades del tratamiento, éste deberá contener:
- Nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado.
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.
Cómo realizar el registro de actividades en MsDatos
Para realizar el registro en nuestro programa de protección de datos, debemos acceder a Registro de actividades en el menú superior:
Se mostrará la siguiente ventana:
Para su generación debemos marcar el tipo de Registro que queremos y una vez marcado
pulsaremos el botón de Generar.
Como hemos visto, habrá un elevado número de organizaciones que no se encontrarán obligadas por el RGPD a llevar a cabo el registro de actividades del tratamiento. Sin embargo, se trata de una práctica muy recomendable, y es una herramienta que va a permitir al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa.
