REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO
Algunas empresas están obligadas a establecer un registro de actividades de procesamiento de acuerdo con RGPD
Es un requisito que algunas empresas deben establecer una lista de Registro de Actividades de Procesamiento de acuerdo con RGPD. Esto significa que la empresa debe documentar su procesamiento de datos personales.
No todas las empresas necesitan crear un registro de actividades de procesamiento de acuerdo con RGPD
No todas las empresas necesitan crear un Registro de Actividades de Procesamiento (ROPA). Como regla general, las empresas con más de 250 empleados deben elaborar un Registro de Actividades de Procesamiento. Sin embargo, las empresas con menos empleados también pueden necesitar hacerlo.
Las empresas con menos de 250 empleados deben crear un Registro de Actividades de Procesamiento si la actividad de procesamiento:
- Es regular y, por lo tanto, no se refiere a un procesamiento temporal.
- Es probable que suponga un riesgo para los derechos y libertades de los interesados.
- Incluye categorías especiales de datos de conformidad con el artículo 9, apartado 1,del RGPD.
- Incluye datos personales relacionados con condenas e infracciones penales en virtud del artículo 10 del RGPD.
Tenga en cuenta que las empresas con menos de 250 empleados que realizan una actividad de procesamiento que requiere estar registrada en un Registro de Actividades de Procesamiento, no tienen que registrar todas sus operaciones de procesamiento de datos personales. Solo aquellos procesos que cumplan con cualquiera de los requisitos anteriores deben documentarse en el registro. Esto es diferente de las empresas más grandes con más de 250 empleados, que tienen que documentar todas sus operaciones de procesamiento en el Registro de Actividades de Procesamiento.
Debe estar por escrito y disponible electrónicamente
Las empresas que necesiten establecer un registro de actividades de procesamiento deben hacerlo por escrito de conformidad con el artículo 30 del RGPD. Además, el registro estará disponible en formato electrónico. Por ejemplo, a través de un archivo de Excel. Si la autoridad nacional de protección de datos solicita el acceso a la misma, la empresa la facilitará.
Ejemplos de lo que debe incluirse en un registro de las actividades de tratamiento de los responsables del tratamiento
Datos de contacto
Los datos de contacto del responsable del tratamiento. Si la empresa tiene un delegado de protección de datos, también deben indicarse sus datos de contacto.
Finalidad
La finalidad del tratamiento.
Categorías
Las categorías de datos personales a las que se refiere el tratamiento, como los datos personales sensibles u otros datos personales sensibles a la privacidad. Lo mismo se aplica a las categorías de interesados, como los niños u otros grupos dignos de protección adicional.
Destinatario
A quién revela la empresa los datos personales. Por ejemplo, un procesador, departamentos internos especiales u otros empleados.
Transferencia a un tercer país
Si la empresa transfiere a las personas a un tercer país, es decir, un país fuera de la zona UE/EEE, debe indicarse. Este tercer país también debe tenerse en cuenta.
Duración del tratamiento
¿Durante cuánto tiempo se tratarán los datos personales?
Medidas de seguridad
Es bueno incluir también una descripción de las medidas de seguridad técnicas y organizativas que la empresa toma para proteger los datos personales.
Ejemplos de lo que debe incluirse en un registro de las actividades de procesamiento de los procesadores
Datos de contacto
Los datos de contacto del encargado del tratamiento se indicarán en el registro. Lo mismo se aplica a cada controlador de quien el procesador ha recibido una orden de procesamiento. Si el encargado del tratamiento tiene un delegado de protección de datos, también deben indicarse los datos de contacto del delegado de protección de datos.
Categorías
Las categorías de datos personales a las que se refiere el tratamiento, que el encargado del tratamiento lleva a cabo para el responsable del tratamiento.
Transferencias a terceros países
información sobre cualquier transferencia de datos personales a un operador de un tercer país; Es decir, un país fuera de la UE/EEE.
Medidas de seguridad
El registro de las actividades de tratamiento debe incluir una descripción de las medidas de seguridad técnicas y organizativas adoptadas por el encargado del tratamiento para proteger los datos personales, siempre que sea posible para especificarlas. Ejemplos de medidas de seguridad técnicas y organizativas que el procesador puede tomar son el uso de protección antivirus, autenticación de múltiples pasos al iniciar sesión, cifrado, procedimientos internos, acuerdos de procesador de datos, etc.
APRENDE MÁS
Concluir un acuerdo de procesamiento de datos
Cuando un controlador contrate a un procesador, celebrará un Acuerdo de Procesamiento de Datos (DPA) entre sí. Tenga en cuenta que el acuerdo debe ser por escrito, ya que es un requisito formal según la ley. La DPA regula la relación entre las partes del acuerdo, así como lo que el procesador puede o no hacer con los datos personales.