Con el nuevo Reglamento General de Protección de Datos (RGPD), las empresas que procesan datos tendrán que asegurarse de tener registros detallados de lo que están haciendo con los datos.
El artículo 30 dice: "Cada responsable del tratamiento y, en su caso, el representante del responsable del tratamiento, mantendrá un registro de las actividades de tratamiento bajo su responsabilidad".
El RGPD pondrá fin a toda distinción entre registros internos y externos. Ahora solo hay un tipo de registro -el registro interno- que debe ponerse a disposición de las autoridades de supervisión cuando estas lo soliciten.
En casos extremos, el incumplimiento de los requisitos del RGPD podría hacer que su organización se enfrente a una multa de hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea más alto.
Controlador o procesador
Si su organización es la que decide con qué fin se recogen los datos, o cómo se recogen, entonces es un controlador de datos.
Sin embargo, si usted realiza el tratamiento en nombre de otra organización, entonces es un procesador de datos. Es probable que su organización sea tanto un controlador como un procesador.
El nuevo reglamento del RGPD establece una serie de requisitos estrictos que deben cumplir tanto los responsables como los encargados del tratamiento de los datos. Establece que debe registrar:
1) Sus datos organizativos y los datos de contacto de su responsable de protección de datos. Además, si su empresa no está en la UE, debe proporcionar los datos de su representante designado en la UE
2) Una descripción de las medidas de seguridad que tiene para proteger los datos. Esto incluye tanto las medidas de seguridad técnica, como el cifrado, como la seguridad organizativa, por ejemplo, las restricciones internas sobre quién tiene acceso a qué partes de la red
3) En el caso de las transferencias de datos fuera del EEE, las organizaciones tendrán que documentar a dónde se transfieren los datos y las salvaguardias establecidas para protegerlos.
Artículo 30 - ¿Qué significa para el interventor?
Si su función es actuar como responsable del tratamiento, le corresponde a usted determinar la finalidad del tratamiento de los datos.
También tendrá que registrar los tipos de personas con los que trabaja y los tipos de datos con los que trabaja, que inevitablemente variarán en función de la naturaleza de su empresa.
Si usted es un responsable del tratamiento, también tendrá que registrar los tipos de destinatarios a los que va a revelar los datos. También es responsabilidad del responsable del tratamiento documentar el tiempo que tiene previsto conservar cada categoría de datos antes de borrarlos.
Artículo 30 - ¿Qué significa para el procesador?
Si usted es el encargado del tratamiento, tendrá que ocuparse de la documentación de los datos. Tendrás que registrar:
- Los nombres y datos de contacto del responsable del tratamiento para el que tratas los datos
- Los datos del RPD del responsable del tratamiento (si tienen uno) y de su representante si no están radicados en la UE.
Puede que esto no suene demasiado exigente, pero hay que tener en cuenta que el encargado medio del tratamiento, por ejemplo una agencia de marketing, tratará los datos en nombre de numerosos clientes. Estos detalles también deben registrarse para cada controlador en nombre del cual el procesador está procesando los datos.
Además, los procesadores deben documentar las diferentes categorías de tratamiento que se llevan a cabo en nombre de cada controlador. El RGPD define el tratamiento como ""cualquier operación o conjunto de operaciones que se realicen sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, recuperación, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción."
Con tantas variables, se puede ver cómo esto puede convertirse en un problema complejo con bastante rapidez.
¿Qué más necesita saber sobre el artículo 30?
Muchos no están preparados para este nivel de cumplimiento de la protección de datos. Tendrán que adoptar rápidamente directrices de privacidad maduras que puedan auditar las actividades de procesamiento en múltiples departamentos, negocios y mercados.
Debe tener un registro de todo el tratamiento de datos, ya sea en formato escrito o electrónico, y debe estar a disposición de la autoridad de control local cuando ésta lo requiera.
Preparación del artículo 30
Es necesario identificar la función empresarial pertinente y las actividades de tratamiento de datos de terceros y crear un registro de datos personales. Sus políticas y avisos de privacidad deben actualizarse y el personal interno debe ponerse al día con el RGPD en lo que respecta a su cargo específico.
En un contexto más amplio, el núcleo del RGPD reside en su énfasis en la responsabilidad. Debe establecerse una cadena de responsabilidad a nivel de departamento, empresa y organización para mantener una gestión coherente de los incidentes, los procesos operativos y las actividades de información. Puede leer más sobre la importancia de la responsabilidad en nuestro blog anterior aquí.
Si desea ayuda adicional con su proyecto de GDPR, puede visitarnos en una de nuestras paradas como parte de nuestro roadshow GDPR for Dummies, que llegará a una ciudad cercana. Inscríbase en los desayunos informativos gratuitos aquí.
También hemos creado MetaPrivacy, una solución para el GDPR diseñada específicamente para ayudar a su empresa a cumplir con el artículo 30. Para obtener más información sobre MetaPrivacy y nuestros otros recursos del GDPR, visite aquí.