Por Vanesa González.
Responsable Departamento de Soporte de Aemol Consulting.
La aplicación del nuevo Reglamento General de Protección de Datos confiere al responsable diferentes obligaciones en materia de protección de datos, como establece en su artículo 30, estipulándole la necesidad de llevar a cabo un registro de actividades de tratamiento bajo su actividad en el cual deberá reflejar la tipología de datos que recoge, con qué fines los trata, a quién o a quienes los comunica, si los difunde a terceros, y qué medidas implementa para garantizar su seguridad.
En esa misma línea se expresa el artículo 31 del Proyecto de Ley de Protección de Datos. Nos indica que es el responsable de protección de datos de la empresa, o sus representantes quienes deberán mantener el registro de actividades de tratamiento tal y como lo expresa el artículo 30 del RGPD, salvo que sea de aplicación a la excepción prevista. Es más, este artículo, el 31, del Proyecto de Ley de Protección de Datos, recoge que los registros han de organizarse en conjuntos estructurados de datos que especifiquen sus finalidades; confiriendo a los responsables de los ficheros como dice en su artículo 77.1 la necesidad de hacer un inventario de sus actividades de tratamiento, accesible por medios electrónicos en el que contará la información establecida en el artículo 30 del RGPD.
Además de describir como han de ser los ficheros y quién ha de custodiarlos, el Reglamento Europeo de Protección de Datos en su artículo 82 nos habla de la responsabilidad de las actividades del tratamiento de datos para el responsable, obligándolos en todo momento a colaborar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que estas puedan supervisar las operaciones de tratamiento.
Según la AEPD (Asociación Española de Protección de Datos) hay dos posibilidades de organizar el registro de actividades de tratamiento. Una primera: a partir de los ficheros que actualmente tienen notificados los responsables en el registro general de protección de datos. Y una segunda en torno a operaciones de tratamientos concretos vinculados a una finalidad básica común a todas ellas o con arreglo a otros criterios diferentes. Este registro de actividad viene a sustituir la antigua obligación de inscribir ficheros no obstante, en los siguientes casos:
- Cuando una empresa u organización tiene más de 250 trabajadores.
- Cuando realizas tratamientos que pueden ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas de infracciones.
- Si se realizan tratamientos que no sean ocasionales.
La generación del registro de actividades de tratamiento es necesario porque:
- El mantenimiento de un registro sustituye la obligación de notificarlo a la AEPD
- El mantenimiento adecuado del registro permitirá al administrador de datos demostrar que sus procesos de tratamiento de datos cumplen con los principios establecidos por el Reglamento
- Se hace hincapié en la responsabilidad de la entidad procesada permitiéndonos controlar y garantizar su propio cumplimiento de las obligaciones legales
- El registro de proceso es una herramienta valiosa para garantizar el cumplimiento.
Para terminar, recordaremos que es de obligatoriedad en función de la Ley el registro de actividades cuyo responsable tendrá que cumplir con los requisitos que le confiere el artículo 30 del RGPD, quién además estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones. Desde Aemol Consulting, advertimos que el nuevo Reglamento otorga amplias funciones al DPO, y a la vez; nos indican que el DPO se convierte en el pilar fundamental que garantiza y protege la privacidad y seguridad de los datos responsabilidad de la empresa.