El próximo 25 de mayo el nuevo RGPD entra en vigor. A partir de esta fecha, ya no es obligatorio inscribir los ficheros de datos en la Agencia Española de Protección de Datos. Esta obligación se sustituye por la de llevar un registro de actividades de tratamiento.
Como explica la Agencia, cada organización deberá llevar un Registro de Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla. El artículo 30.1 dicta su contenido para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro de Actividades que el encargado de tratamiento debe llevar.
En este registro de actividades, “los responsables deben obligatoriamente indicar los datos de contacto del delegado de protección de datos, describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplica para preservar su seguridad, y cuándo podrá suprimirlos”.
En el caso de las Administraciones Públicas además, “deberán indicar la base legal que legitima el tratamiento y el delegado de protección de datos y han de hacer público el inventario de sus actividades de tratamiento, siendo accesible por medios electrónicos”.
Para el sector privado, la Agencia Española de Protección de Datos ha puesto a disposición de todos los responsables de tratamiento la herramienta FACILITA_RGPD, de la que ya os hablamos en un post anterior..
Facilita RGPD, nueva herramienta de la AEPD para protección de datos
Para elaborar este registro de actividades de tratamiento, cumpliendo con el principio de responsabilidad proactiva, cada organización decide de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realiza la gestión de la misma. Sin embargo, la Agencia aconseja dos fases.
Fase I: Revisión de los tratamientos sobre datos personales que ya se realizan.
Para ello, la Agencia facilita la posibilidad de descargarse los ficheros que ya se encuentran registrados. “Una vez descargados, su revisión debe servir para comprobar si todos los tratamientos de datos de carácter personal están recogidos, si el nivel de detalle sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados”.
Fase II: Con los cambios que incorpora el RGPD, qué nuevos tratamientos de datos de carácter personal se deben realizar y registrar.
Las nuevas obligaciones del RGPD con respecto al tratamiento incluyen dos puntos:
1.Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
2.Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.
Desde Legitec te podemos ayudar a cumplir con todas las disposiciones legales que establece el nuevo RGPD. No lo dudes y contacta con nosotros para pedirnos presupuesto.