Preparar la documentación de la tramitación

Los controladores deben tener siempre presente que el desarrollo de soluciones de IdC implica a menudo el uso de diferentes conjuntos de datos. La trazabilidad del tratamiento, la información sobre la posible reutilización de los datos y el uso de datos pertenecientes a diferentes conjuntos de datos en diferentes o en las mismas etapas del ciclo de vida deben estar garantizados por los registros, ya que el responsable del tratamiento será responsable y podrá demostrar el cumplimiento del artículo 5 del RGPD (véase el “Principio de responsabilidad” en la sección “Principios” de la Parte II de estas Directrices). Quienquiera que procese datos personales (incluidos tanto los controladores como los procesadores) necesita documentar sus actividades, principalmente para el uso de las Autoridades de Supervisión cualificadas/relevantes (véase la “Documentación del procesamiento” en la sección “Principales herramientas y acciones”, Parte II de estas Directrices), pero también, cuando sea apropiado, por los sujetos de los datos y otras partes interesadas.

Esto debe hacerse, entre otras cosas, a través de los registros de las actividades de tratamiento que la organización mantiene de forma centralizada en todas sus actividades de tratamiento, y de la documentación adicional correspondiente a una actividad individual de tratamiento de datos (véase la sección “Documentación del tratamiento” en las “Principales herramientas y acciones”, Parte II de estas Directrices).

Las primeras etapas del desarrollo del proyecto son el momento perfecto para establecer una forma sistemática de recopilar la documentación necesaria, ya que será el momento en que la organización conciba y planifique la actividad^[1] de tramitación.

Lista de control. Documentación

Póngase en contacto con la oficina/persona que lleva los registros de tramitación de su organización.
- Si es necesario, el responsable de la protección de datos puede ayudar a establecer el contacto.
Infórmeles desde el principio de que tiene intención de procesar datos personales.
- Su actividad de tramitación tiene que estar inscrita en los registros antes de que se inicie la tramitación.
Siga sus instrucciones de
- qué información debe proporcionar para los registros de procesamiento,
- cuando necesite enviar actualizaciones de esta información.

Documentación adicional relativa a una única actividad de procesamiento).

Deben documentarse los siguientes elementos:

Evaluación de si la actividad de tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas físicas.
Una evaluación del impacto de la protección de datos cuando la evaluación anterior arroje un resultado afirmativo.
Posible consulta a la autoridad de control competente antes del tratamiento.
Requisitos y pruebas de aceptación para la compra y/o el desarrollo del software, el hardware y la infraestructura empleados.
Implementación de medidas técnicas y organizativas.
Comprobación periódica, valoración y evaluación de la eficacia de las medidas técnicas y organizativas.
Requisitos y pruebas de aceptación para la selección de procesadores.
Contratos estipulados con los transformadores.
Posibles inspecciones y auditorías del procesador.
Método para recoger el consentimiento.
Demostraciones de expresiones individuales de consentimiento.
Información proporcionada a los interesados.
Aplicación de los derechos de los interesados.
Tratamiento real de los derechos de los interesados.
Posibles notificaciones de infracciones a la autoridad de supervisión competente.
Posible comunicación de las violaciones de datos al interesado.
Cualquier otra comunicación con la autoridad de control competente.

El artículo 25.1 del RGPD lo denomina “el momento de la determinación de los medios para el tratamiento”. ↑