Otras de las novedades importantes que establece el RGPD es el seguimiento que deberá efectuarse de toda actividad de tratamiento que se lleve a cabo. Esta obligación hace referencia tanto al responsable del tratamiento como al encargado del tratamiento. A continuación se describen las obligaciones que el reglamento establece para cada figura.

Responsable del tratamiento:

Todo responsable deberá llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener la información siguiente:

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • Las finalidades del tratamiento.
  • Una descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunicaron o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Si procede, transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional.
  • Cuando sea factible, los plazos previstos para la supresión de las diferentes categorías de datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que se indican a continuación:
  1. El cifrado de datos personales.
  2. La capacidad de garantizar la confidencialidad, integridad y disponibilidad de los sistemas de tratamiento.
  3. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  4. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en los casos de incidencia física y/o técnica.

Asimismo, indicar que los registros del tratamiento deberán efectuarse por escrito ante la Autoridad de Control que lo solicite. No obstante todo lo anterior, es importante destacar que las obligaciones indicadas en este artículo no serán de aplicación a ninguna compañía ni organización que emplee a menos de 250 personas, a menos que el tratamiento que efectúe pueda entrañar un riesgo para los derechos y las libertades de los interesados.

Encargado del tratamiento:

Al igual como ya ocurre con el responsable del tratamiento, el encargado del tratamiento o, en su caso, el representante del encargado, deberá llevar un registro de todas las categorías de actividades de tratamiento que efectúe por cuenta de un responsable. Tal registro deberá contener el siguiente contenido:

  • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • Si procede, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad siguientes:
  1. El cifrado de datos personales.
  2. La capacidad de garantizar la confidencialidad, integridad y disponibilidad de los sistemas de tratamiento.
  3. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  4. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en los casos de incidencia física y/o técnica.

Del mismo modo que se establece para el responsable del tratamiento, el encargado del tratamiento también deberá efectuar por escrito los registros ante la Autoridad de Control que lo solicite. Esta obligación tampoco será de aplicación para las organizaciones o empresas de menos de 250 trabajadores, salvo los casos previstos en el reglamento.

Recuerda que con la entrada en vigor del RGPD se establece la obligación para toda empresa de marketing y/o publicidad de llevar un registro de actividades de tratamiento. Tal registro podrá almacenarse tanto en formato papel como en formato digital y deberá contener la siguiente información:

  • Nombre y datos de contacto del responsable del tratamiento.
  • Nombre y datos del Delegado de Protección de Datos.
  • Finalidad del tratamiento de los datos personales.
  • Descripción de las categorías de interesados y de datos personales.
  • Descripción de las categorías de destinatarios de los datos personales.
  • Identificación de transferencias de datos personales, si se diera el caso.
  • Definición de los plazos previstos para la supresión de las diferentes categorías de datos.
  • Descripción de las medidas técnicas y organizativas a aplicar.

 

Share This