Registro del tratamiento

📕 El artículo 30 del RGPD impone a cada responsable del tratamiento de datos tener un registro de los tratamientos efectuados bajo su responsabilidad . El registro debe contener los siguientes datos (algunos coinciden con los datos que se comunican a los clientes):  

  • El nombre y los datos de contacto del responsable del tratamiento de datos y, si no se tienen, del responsable adjunto, del representante del responsable y del delegado de protección de datos (también incluido en la obligación de información de los artículos 13 y 14 del RGPD); 
  • Las finalidades del tratamiento de datos (también incluido en la obligación de información de los artículos 13 y 14 del RGDP);  
  • Una descripción de las categorías de las personas interesadas  y de las categorías de los datos personales;  
  • Las categorías de destinatarios a quienes se ha comunicado o se comunicarán los datos personales, incluidos destinatarios de países terceros u organizaciones internacionales (también incluidas en la obligación de información de los artículos 13 y 14 del RGPD); 
  • Cuando sea necesario, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país o de esa organización internacional. En el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, documentos que acrediten la existencia de garantías adecuadas (también contenidas en la obligación de información de los artículos 13 y 14 del RGPD); 
  • Los plazos establecidos para suprimir las diferentes categorías de datos (también contenidos en la obligación de información de los artículos 13 y 14 del RGPD); 
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizacionales a las que se refiere el artículo 32 (por ejemplo, seudonimización y cifrado de datos personales; los medios para garantizar su confidencialidad, integridad, disponibilidad y la resistencia constante de los sistemas y servicios de procesamiento; los medios que permiten restablecer la disponibilidad de los datos personales y acceder a ellos dentro de un plazo adecuado en caso de incidente físico o técnico; el procedimiento para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizacionales para garantizar la seguridad del tratamiento). 

 

Cada encargado del tratamiento de datos debe mantener un registro de las categorías de actividades efectuadas, que incluyen:   

  • Los nombres y datos de contacto del encargado del tratamiento de datos y de cada responsable en nombre del cual el encargado actúa, así como los datos de contacto del delegado de protección de datos (DPO); 
  • Las categorías de tratamiento efectuadas en nombre de cada responsable; 
  • Según corresponda, la transferencia de datos personales hacia un tercer país o una organización internacional y, en el caso de las transferencias a las que se refiere el artículo 49, apartado 1, párrafo segundo, documentos que acrediten la existencia de garantías adecuadas;  
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizacionales.  

 

Existen excepciones a la obligación de llevar estos registros, particularmente en el caso de una empresa con menos de 250 empleados, salvo si el tratamiento de datos presenta algún riesgo y no es ocasional o si incluye categorías especiales de datos personales (datos sensibles).