Hoy, 25 de mayo, entra en vigor el Reglamento General de Protección de Datos (RGPD). Este nuevo Reglamento elimina la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos. En su lugar, se establece la obligación, en determinados supuestos, de llevar a cabo un registro de actividades del tratamiento.
El RGPD dispone en su considerando 82 que “para demostrar la conformidad y cumplimiento del mismo, tanto el responsable como el encargado de tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad”. El registro deberá constar por escrito, siendo válido también en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.
¿Cuándo será necesario contar con un registro de actividades del tratamiento?
Según el artículo 30 del RGPD, tendrán obligación de contar con un registro de actividades del tratamiento todas aquellas organizaciones responsables del tratamiento que empleen a más de 250 trabajadores, excepto si:
· El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y libertades del interesado, o
· El tratamiento incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual), o
· El tratamiento incluya datos relativos a condenas e infracciones penales.
¿Qué información debe contener el registro de actividades del tratamiento?
El registro de actividades del tratamiento del responsable deberá contener la información siguiente:
· El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
· Los fines del tratamiento.
· Una descripción de las categorías de interesados y de las categorías de datos personales.
· Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
· En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.
· Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
· Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.
Más información
Les dejamos un enlace a la página oficial de la Agencia Española de Protección de Datos con toda la información sobre el nuevo reglamento: