El RGPD exige a los responsables del tratamiento no sólo que cumplan con las obligaciones en materia de protección de datos, sino también que sean capaces de demostrar su cumplimiento de dichas obligaciones y de los principios consagrados en la norma. Esto significa que el responsable del tratamiento deberá mantener los registros y la documentación adecuados relativos al tratamiento de datos y a la gobernanza de dicho tratamiento.
Aparte de un conjunto limitado de documentos que son claramente obligatorios (como el registro de las actividades de tratamiento exigido por el artículo 30 del RGPD), es obligación del responsable del tratamiento identificar cuáles son los documentos necesarios para demostrar el cumplimiento. Las siguientes tablas presentan la lista de documentos exigidos por el RGPD con la ubicación correspondiente en el texto. Debe considerarse una base mínima y no una lista de comprobación exhaustiva. De hecho, aunque no es obligatorio, pueden ser necesarios otros documentos para demostrar el cumplimiento (por ejemplo, informes de consultas previas con las autoridades de control, descripción de las medidas técnicas y organizativas aplicadas, etc.)
| Documentación: lista de control | ||
| 1 | Política de protección de datos personales | Artículo 24.2 |
| 2 | Aviso de privacidad | Artículos 12, 13, 14 |
| 3 | Política de conservación de datos | Artículos 5, 13, 17 y 30 |
| 4 | Calendario de conservación de datos | Artículo 30 |
| 5 | Registro de actividades de procesamiento (si procede) | Artículo 30 |
| 6 | Formulario de consentimiento (si procede) | Artículos 6, 7, 9 |
| 7 | Acuerdo de procesamiento de datos con los proveedores | Artículos 28, 32, 82 |
| 8 | Evaluación del impacto de la protección de datos | Artículo 35 |
| 9 | Nombramiento de un representante de la UE (si procede) | Artículo 27 |
| 10 | Procedimiento de respuesta y notificación de la violación de datos | Artículos 4, 33, 34 |
| 11 | Notificación de la violación de datos a la Autoridad de Supervisión (si procede) | Artículo 33 |
| 12 | Notificación de la violación de datos a los interesados (si procede) | Artículo 34 |
Algunos documentos son necesarios sólo cuando se aplican criterios específicos.
| Documentaciónobligatoriacondicionada | |
| Registro de actividades de procesamiento | Si se trata de 250 empleados o más, salvo que el tratamiento pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos personales relativos a condenas e infracciones penales |
| Formulario de consentimiento | Si el tratamiento se basa en el consentimiento como base jurídica, y si el tratamiento se ha recogido de forma[1] escrita |
| Nombramiento de un representante de la UE | Si el tratamiento afecta a sujetos de la UE y es realizado por un responsable o un encargado del tratamiento no establecido en la UE, a menos que sea ocasional, no implique un tratamiento a gran escala, ni categorías especiales de datos, ni datos personales relativos a condenas e infracciones penales, y sea improbable que suponga un riesgo para los derechos y las libertades de las personas físicas |
| Notificación de la violación de datos a la Autoridad de Supervisión | Sólo cuando se produzca una violación de datos que pueda suponer un riesgo para los derechos y libertades de las personas físicas |
| Notificación de la violación de datos a los interesados | Cuando se produzca una violación de datos que pueda suponer un alto riesgo para los derechos y libertades de las personas físicas o, cuando sea improbable que suponga un alto riesgo, si la autoridad de control lo requiere |
Para que el mantenimiento de los registros sea más fácil y coherente, el investigador debe preparar plantillas adecuadas para los pasos que deben documentarse o consultar con el DPD o con su departamento jurídico en lugar del DPD, para comprobar si existen plantillas en la organización.
Antes de comenzar con la recogida y el tratamiento de datos personales, los investigadores deben recopilar la documentación sobre protección de datos ya disponible en su organización, y crear un expediente específico que contenga toda la documentación pertinente. Los nuevos documentos deben añadirse al expediente tan pronto como se creen. El objetivo del expediente es registrar los pasos y las decisiones tomadas por los investigadores y otros interesados en la protección de datos que participan en la actividad de investigación y presentar información suficiente para demostrar que se ha mantenido el cumplimiento durante todo el proceso.
El equipo de investigación debe considerar el expediente no como una mera obligación de registro. El expediente debe actuar como la formalización de las medidas prácticas que el equipo de investigación adopta para garantizar la salvaguarda de los datos personales. Por ejemplo, no basta con tener un procedimiento de notificación y respuesta a la violación de datos. Los investigadores deben ser capaces de demostrar que el procedimiento puede ponerse en marcha de forma rápida y eficaz, en caso de necesidad.
- De hecho, el RGPD no exige que el consentimiento se recoja por escrito. Para más información, véase European Data Protection Board, ‘Guidelines 05/2020 on Consent’, 16. ↑