Registre d’activitat del tractament
Una de les novetats principals de l’RGPD és l’obligació que els responsables i els encarregats del tractament creïn i mantinguin actualitzat un registre d’activitat dels tractaments de dades que duen a terme. Així ho estableix l’art. 30 del RGPD:
Pels responsables del tractament aquesta obligació es troba al paràgraf primer: “Cada responsable i, si s’escau, el seu representant portaran un registre de les activitats de tractament efectuades sota la seva responsabilitat”.
Pels encarregats del tractament, ens hem d’anar al segon paràgraf: “Cada encarregat i, si s’escau, el representant de l’encarregat portarà un registre de totes les categories d’activitats de tractament efectuades per compte d’un responsable”.
L’article segueix indicant el contingut mínim del registre d’activitats del tractament, indicant a més que es pot crear i mantenir en format electrònic o manual.
Com organitzar el registre d’activitat del tractament?
L’AEPD explica a la seva web aspectes bàsics d’aquesta obligació, indicant la informació mínima que ha de contenir el registre d’activitats del tractament:
- el nom i les dades de contacte del responsable i, si s’escau, del corresponsable, del representant del responsable i del delegat de protecció de dades.
- la finalitat del tractament.
- una descripció de les categories d’interessats i de les categories de dades personals.
- les categories de destinataris a qui es van comunicar o comunicaran les dades personals, incloses les persones destinatàries en tercers països o organitzacions internacionals.
- si escau, les transferències de dades personals a un tercer país, inclosa la identificació del tercer país o organització internacional esmentat, i, en el cas de les transferències indicades a l’article 49, apartat 1, paràgraf segon, la documentació de garanties adequades.
- quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades;
- quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.
En cas que el registre sigui d’un encarregat, cal afegir-hi el nom del responsable per compte del que estigui efectuant aquest tractament.
A nivell pràctic, un bon registre d’activitats de tractament ha de ser la base de la resta d’obligacions de l’RGPD, entre les quals:
- Una política de privacitat adequada.
- Un bon sistema de recollida, si cal, de consentiments.
- Un sistema correcte d’eliminació de dades.
- L’anàlisi de riscos i, si escau, l’avaluació d’impacte.
Per això resulta clau que el registre d’activitats del tractament, defineixi bé la finalitat de cada tractament fugint de registres genèrics com a “clients”, “treballadors” o “proveïdors”.
Un bon registre d’activitats del tractament identifica clarament quin tipus de tractaments es fa a cada categoria o tipologia de dades i, només a partir d’aquest instant, es completa el registre; alguns dels registres d’activitats del tractament habituals són:
- Gestió de clients.
- Facturació i administració.
- Atenció al client.
- Servei postvenda.
- Gestió de nòmines.
- Selecció de personal.
- Formació de personal.
- Control laboral.
- Videovigilància.
- Etc.
Com es pot veure, malgrat que la categoria d’interessats pot ser la mateixa en aquests exemples registres d’activitat del tractament (per exemple, control laboral i formació del personal que afecten en ambdós casos a treballadors), aspectes com els següents poden diferir en cada cas: base legitimadora, període de retenció de les dades, finalitat, etc.
Aquesta tasca és duta a terme, molt sovint ja, per programes o eines de compliment normatiu de l’RGPD, però hem de recomanar que, en tot cas, l’empresa o el seu assessor s’asseguri que els criteris marcats per la companyia titular del programa adeqüen a la realitat del responsable o a l’encarregat del tractament.
Aquestes eines són de gran utilitat, però com sempre, s’han d’adaptar a les necessitats de l’obligat a complir l’RGPD i no a l’inrevés. Tenir un bon registre d’activitats del tractament és la base per a un compliment correcte de l’RGPD.
Si necessites més informació sobre aquest tema per a la teva empresa, contacta’ns!:
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.