Record of processing activities
Last updated:
Una de las herramientas que el RGPD exige a los responsables para demostrar la conformidad con el RGPD es el mantenimiento de los registros de actividades de tratamientos de datos que tienen bajo su responsabilidad y control, teniendo en cuenta la obligada colaboración con la Autoridad de Control que exige poner a su disposición dichos registros de operaciones de tratamiento para facilitar las actividades de supervisión realizadas en el ámbito de los poderes que el RGPD le otorga.
El RGPD y la LOPDGDD exigen un contenido mínimo que deberá ser tenido en cuenta por el responsable:
- el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
- los fines del tratamiento;
- una descripción de las categorías de interesados y de las categorías de datos personales;
- las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo2, la documentación de garantías adecuadas;
- cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad
El contenido del Registro de Actividades de Tratamiento constituye una información mínima exigible. Este registro podría integrarse y formar parte de los catálogos de procesos que ya existiesen en la entidad, incluyendo toda la información que el responsable considere necesaria para proteger los derechos y libertades de las personas físicas y poder demostrar cumplimiento atendiendo a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los posibles orígenes de los riesgos que dicho tratamiento pudiera suponer para los interesados. El registro podría incluir aspectos que faciliten la aplicación efectiva de la responsabilidad proactiva como: análisis de riesgos para los derechos y libertades realizados, la descripción sistemática del tratamiento, los sistemas de información sobre los que se apoya, la descripción de la identidad de los encargados del tratamiento, las garantías previstas para llevar a cabo transferencias internacionales de datos, información de contacto de las personas o los departamentos de la organización que se encuentran implicados en las operaciones de tratamiento, etc.
En el caso de dar acceso al contenido del Registro de Actividades de Tratamiento, y con relación a una posible descripción general de las medidas técnicas y organizativas de seguridad, debe evitarse desvelar cualquier información que pudiera ser perjudicial para la organización, para los tratamientos de datos personales y que comprometiese la propia seguridad. En este caso, se recomienda contar con el Responsable de Seguridad o CISO con carácter previo a la publicación de dicha descripción general o, en su caso, utilizar una referencia general a los estándares de seguridad utilizados.
Para ayudarte en la elaboración del registro de actividades de tratamiento puedes utilizar la herramienta FACILITA_RGPD.