¿Necesito un registro de actividades de tratamiento?
En términos generales, cada organización debe mantener un registro de sus actividades de tratamiento. Este es un inventario de todas las operaciones de tratamiento y puede ayudarte a asumir correctamente tus responsabilidades bajo el RGPD y los posibles riesgos.
Cada una de estas operaciones de tratamiento se describirá en el registro con la siguiente información:
- el propósito del tratamiento (por ejemplo, lealtad al cliente);
- las categorías de datos tratados (por ejemplo, para la nómina de sueldos: nombre, nombre, fecha de nacimiento, salario, etc.);
- quién tiene acceso a los datos (los destinatarios, por ejemplo: el departamento encargado de la contratación, el servicio informático, la gestión, los proveedores de servicios, los socios...);
- cuando proceda, información relacionada con transferencias de datos personales fuera del Espacio Económico Europeo (EEE),
- en la medida de lo posible, el período de almacenamiento (período durante el cual los datos son útiles desde el punto de vista operativo y desde una perspectiva de archivo).
- en la medida de lo posible, una descripción general de las medidas de seguridad.
El registro de las actividades de tratamiento es responsabilidad del gerente de su organización.
Este registro debe estar a disposición de la autoridad de protección de datos del país del EEE en el que opere, si se solicita.
No es necesario que las organizaciones que emplean a menos de 250 personas mencionen actividades puramente ocasionales en su registro (por ejemplo, datos tratados para eventos puntuales como la apertura de una tienda).
Más información: