Servicios
Registro de los tratamientos
Con el nuevo Reglamento en Protección de Datos (RGPD) no se deberán declarar ficheros, se deberá de implementar un registro de los tratamientos
Este registro es sustancialmente distinto del mantenimiento del tradicional “documento de seguridad”, que exigía el artículo 88 del RLOPD. El Considerando 82 del RGPD se refiere a este registro señalando que “para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.
El RGPD, que se refiere a esta medida expresamente en su artículo 30, señala que los responsables y los encargados están obligados a mantener un registro de las actividades de tratamiento que realicen.
La obligación de mantenimiento del registro, según el apartado 5 del citado artículo 30 del RGPD, se impone en el caso de empresas u organizaciones que se encuentren en alguno de los supuestos siguientes: Empleen más de 250 personas, a menos que:
· el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados;
· realicen tratamientos con datos que no sea de forma ocasional;
· Si el tratamiento que se realiza incluye categorías especiales de datos personales indicadas en el artículo 9, apartado 1. Es decir, tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
· Si el tratamiento que se realiza incluye datos personales relativos a condenas e infracciones penales, a que se refiere el artículo 10.
Eso quiere decir que cualquier empresa con menos de 250 personas que realice tratamientos que no sean ocasionales, o tratamientos con categorías especiales de datos o el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, deberá de implementar un registro de actividades. Por eso la gran mayoría de empresas estarán obligadas a implementarlo.
Este registro, según el apartado 3 del artículo 30, debe constar por escrito y, en todo caso, en formato electrónico. Por otro lado, el registro debe estar a disposición de la autoridad de control que lo solicite.