search
El medio de comunicación que reinventa la empresa
Registrar un software

¿Cómo llevar un registro de tratamiento de datos que cumpla el RGPD?

¿Cómo llevar un registro de tratamiento de datos que cumpla el RGPD?

Por Alain Garnier

El 12 de noviembre de 2024

El Reglamento General de Protección de Datos (o RGPD ) entrará en vigor el 25 de mayo de 2018, y se aplicará a todos los organismos públicos y empresas privadas que realicen tratamientos de datos personales a gran escala.

Introduce el principio de rendición de cuentas, lo que significa que cada actor debe poder demostrar, en cualquier momento, la conformidad de sus actividades de tratamiento con la normativa aplicable, de ahí la necesidad de llevar un registro de tratamientos. Esta es una de las principales obligaciones para cumplir con el RGPD.

RESUMEN :

Quién está obligado a llevar un registro de tratamiento de datos?

Todas las empresas y organismos públicos con más de 250 empleados están afectados por el RGPD y están obligados a llevar un registro de las operaciones de tratamiento de datos.

Sin embargo, las empresas con menos de 250 empleados también están afectadas y deben elaborar un registro de tratamiento cuando se dé una de las siguientes situaciones:

  • El tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados (tratamiento que dé lugar a discriminación, revele el origen racial, etc.);
  • El tratamiento es rutinario (gestión de personal (RRHH), gestión de proveedores o gestión de clientes, que no se realizan ocasionalmente);
  • El tratamiento se refiere a categorías especiales de datos, denominados "datos sensibles" (datos relativos al origen racial o étnico, la religión o las convicciones, las opiniones políticas o de cualquier otro tipo, la salud, etc.);
  • El tratamiento realizado se refiere a datos judiciales.

La normativa especifica que la ausencia de un responsable de la protección de datos (RPD) no exime a la organización de llevar un registro de las operaciones de tratamiento.

El nuevo Reglamento también obliga a los encargados del tratamiento de datos personales a llevar un registro de tratamiento.

¿Qué debe contener un registro de tratamiento?

La información contenida en el registro de operaciones de tratamiento debe responder a las siguientes preguntas: ¿Quién?

  • Quién: los datos personales del responsable del tratamiento,
  • ¿Por qué se tratan? Se trata de una descripción de la finalidad del tratamiento de datos,
  • ¿Qué datos? Las distintas categorías de interesados y datos tratados,
  • Dónde: se trata de localizar los datos y especificar sus destinatarios,
  • ¿Hasta cuándo? Hay que definir los plazos de destrucción previstos,
  • ¿Cómo? Se trata de describir las medidas de seguridad técnicas y organizativas que deben aplicarse para proteger los datos.

Como no existe una lista de los elementos exactos que deben figurar en un registro de tratamiento, es posible añadir otros elementos complementarios como la necesidad de un análisis de impacto, un registro de las violaciones de datos, etc.

Ejemplo de registro de tratamiento de datos con CaptainDPO

CaptainDPO publica una solución de software SaaS para ayudar a los RPD a gestionar el cumplimiento del RGPD por parte de su organización.

  • Se presenta una lista de las distintas operaciones de tratamiento,
  • Los responsables del tratamiento,
  • la empresa,
  • El estado de cada operación de tratamiento (En curso - Conforme - No conforme).

CaptainDPO le permitirá descubrir en qué puntos no cumple la normativa para que pueda tomar las medidas necesarias creando tareas y garantizando el cumplimiento.


También se ofrecen detalles de cada tratamiento:

  • Una descripción general del tratamiento,
  • La persona responsable del tratamiento,
  • La finalidad del tratamiento,
  • Las medidas de seguridad utilizadas para proteger los datos,
  • La categoría de los datos tratados,
  • La localización de los datos (en caso de transferencia de datos fuera de la UE).

La gestión multirregistro está ahora integrada en CaptainDPO para los RPD externos.

Sanciones por incumplimiento de esta obligación

El incumplimiento de la obligación de llevar un registro de las operaciones de tratamiento o de realizar una evaluación de impacto previa al tratamiento de datos personales puede acarrear sanciones severas.

La multa puede ascender al 2% del volumen de negocios mundial de la empresa o a 10 millones de euros. Se retendrá la cantidad más elevada.

Artículo traducido del francés