Con el nuevo Reglamento General de Protección de Datos (RGPD), las empresas que procesen datos tendrán que asegurarse de que disponen de registros detallados de lo que hacen con ellos.

El artículo 30 dice: «Cada responsable del tratamiento y, en su caso, su representante, llevará un registro de las actividades de tratamiento bajo su responsabilidad.»

El El GDPR pondrá fin a cualquier distinción entre registros internos y externos. Ahora sólo existe un tipo de registro -el registro interno- que debe ponerse a disposición de las autoridades supervisoras cuando éstas lo soliciten.

En casos extremos, el incumplimiento de los requisitos del GDPR podría hacer que su organización se enfrentara a una multa de hasta 20 millones de euros o el 4% o la facturación global anual, lo que sea mayor.

Controlador o procesador

Controlador o procesador de datos

Si su organización es la que decide con qué fin se recogen los datos o cómo se recogen, entonces usted es un controlador de datos.

Sin embargo, si usted realiza el tratamiento en nombre de otra organización, entonces es un encargado del tratamiento. Es probable que su organización sea a la vez responsable y encargado del tratamiento.

El nuevo reglamento GDPR establece una serie de estrictos requisitos que deben cumplir tanto los responsables como los encargados del tratamiento de los datos. Establece que debe registrar:
1) Sus datos organizativos y los datos de contacto de su responsable de protección de datos. Además, si su empresa no se encuentra en la UE, deberá facilitar los datos de su representante designado en la UE
2) Una descripción de las medidas de seguridad que aplica para proteger los datos. Esto incluye tanto las medidas de seguridad técnica, como el cifrado, como la seguridad organizativa, por ejemplo, las restricciones internas sobre quién tiene acceso a qué partes de la red
3) Para las transferencias de datos fuera del EEE, las organizaciones tendrán que documentar a dónde se transfieren los datos y las salvaguardias establecidas para protegerlos.

Artículo 30 – ¿Qué significa para el controlador?

Si su función es actuar como responsable del tratamiento, entonces le corresponde a usted determinar la finalidad del tratamiento de los datos.

También tendrá que registrar los tipos de personas con cuyos datos trabaja y los tipos de datos con los que trabaja, que inevitablemente diferirán en función de la naturaleza de su empresa.

Si usted es un responsable del tratamiento, también tendrá que registrar los tipos de destinatarios a los que revelará los datos. También es responsabilidad del responsable del tratamiento documentar el tiempo que piensa conservar cada categoría de datos antes de borrarlos.

Artículo 30 – ¿Qué significa para el transformador?

Si usted es el encargado del tratamiento, tendrá que ocuparse de la documentación de los datos. Tendrá que registrar:
– Los nombres y datos de contacto del responsable del tratamiento para el que está procesando los datos
– Los datos del RPD del responsable del tratamiento (si tienen uno) y de su representante si no tiene su sede en la UE.

Puede que esto no parezca demasiado gravoso, pero debe tener en cuenta que el encargado medio del tratamiento, por ejemplo una agencia de marketing, estaría tratando datos en nombre de numerosos clientes. Estos detalles también deben registrarse para cada responsable del tratamiento en nombre del cual el encargado del tratamiento esté procesando datos.

Además, los encargados del tratamiento deben documentar las diferentes categorías de tratamiento que se llevan a cabo en nombre de cada responsable del tratamiento. El GDPR define el tratamiento como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales o a conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.»

Con tantas variables puede ver cómo esto puede convertirse en un problema complejo con bastante rapidez.

¿Qué más necesita saber sobre el artículo 30?

¿Qué más necesita saber sobre el artículo 30?

Muchos no están preparados para este nivel de cumplimiento de la protección de datos. Necesitarán adoptar rápidamente directrices de privacidad maduras que puedan auditar las actividades de procesamiento en múltiples departamentos, negocios y mercados.

Debe tener un registro de todo el procesamiento de datos, ya sea por escrito o en formato electrónico, y debe estar a disposición de la autoridad supervisora local cuando ésta lo requiera.

Preparación para el artículo 30

Es necesario identificar la función empresarial relevante y las actividades de procesamiento de datos de terceros y crear un Registro de Datos Personales. Sus políticas y avisos de privacidad deben actualizarse y el personal interno debe ponerse al día con el GDPR en lo que respecta a su cargo específico.

En un contexto más amplio, el núcleo del GDPR reside en su énfasis en la responsabilidad. Debe establecerse una cadena de rendición de cuentas a nivel de departamento, empresa y organización para mantener una gestión coherente de los incidentes, los procesos operativos y las actividades de información. Puede leer más sobre la importancia de la rendición de cuentas en nuestro blog anterior  aquí.

Si desea ayuda adicional con su proyecto GDPR, puede visitarnos en una de nuestras paradas como parte de nuestro roadshow GDPR for Dummies, que llegará pronto a una ciudad cercana. Inscríbase en los desayunos informativos gratuitos  aquí.

También hemos creado MetaPrivacy, una solución GDPR diseñada específicamente para ayudar a su empresa a hacer frente al artículo 30. Para más información sobre MetaPrivacy y nuestros otros recursos GDPR, visite  aquí.