Los controladores deben tener siempre presente que el desarrollo de soluciones de IdC implica a menudo el uso de diferentes conjuntos de datos. La trazabilidad del tratamiento, la información sobre la posible reutilización de los datos y el uso de datos pertenecientes a diferentes conjuntos de datos en diferentes o en las mismas etapas del ciclo de vida deben estar garantizados por los registros, ya que el responsable del tratamiento será responsable y podrá demostrar el cumplimiento del artículo 5 del RGPD (véase el “Principio de responsabilidad” en la sección “Principios” de la Parte II de estas Directrices). Quienquiera que procese datos personales (incluidos tanto los controladores como los procesadores) necesita documentar sus actividades, principalmente para el uso de las Autoridades de Supervisión cualificadas/relevantes (véase la “Documentación del procesamiento” en la sección “Principales herramientas y acciones”, Parte II de estas Directrices), pero también, cuando sea apropiado, por los sujetos de los datos y otras partes interesadas.
Esto debe hacerse, entre otras cosas, a través de los registros de las actividades de tratamiento que la organización mantiene de forma centralizada en todas sus actividades de tratamiento, y de la documentación adicional correspondiente a una actividad individual de tratamiento de datos (véase la sección “Documentación del tratamiento” en las “Principales herramientas y acciones”, Parte II de estas Directrices).
Las primeras etapas del desarrollo del proyecto son el momento perfecto para establecer una forma sistemática de recopilar la documentación necesaria, ya que será el momento en que la organización conciba y planifique la actividad[1] de tramitación.
Lista de control. Documentación
Documentación adicional relativa a una única actividad de procesamiento). Deben documentarse los siguientes elementos:
|
- El artículo 25.1 del RGPD lo denomina “el momento de la determinación de los medios para el tratamiento”. ↑