Los registros del tratamiento pueden conservarse en forma escrita o electrónica[1]. Así que espere rellenar un formulario específico de la organización o introducir su información en algún sistema de gestión (de protección de datos).
Para dar una primera idea, el contenido mínimo de los registros de tratamiento para los controladores incluye los siguientes elementos[2]:
- el nombre y los datos de contacto del responsable del tratamiento, del representante del responsable del tratamiento y del delegado de protección de datos;
- los fines del tratamiento;
- una descripción de las categorías de interesados y de las categorías de datos personales;
- las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales;
- en su caso, las transferencias de datos personales a un tercer país (véase la sección “Transferencia de datos a terceros países” de la Parte II, en los “Principales instrumentos y acciones” de estas Directrices), junto con la documentación de las garantías adecuadas;
- en la medida de lo posible, los plazos previstos para la supresión de las diferentes categorías de datos (véase la “Limitación del almacenamiento” en la sección “Principios” de la Parte II de estas Directrices);
- cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas (véase “Integridad y confidencialidad” en la sección “Principios” de la Parte II de estas Directrices)
Es posible que su organización utilice un conjunto diferente de elementos, ya que, por un lado, ya está en posesión de parte de esta información (como el primer punto), y por otro lado, puede requerir información adicional (como el contacto de la persona responsable de la actividad de procesamiento única en cuestión). Es posible que el mantenimiento de registros exigido por la ley se combine con las necesidades de gestión de la organización, como un inventario interno de recursos informáticos y de computación.
Su organización también puede utilizar múltiples sistemas, por ejemplo, dependiendo de si actúa como controlador o como procesador; o distinguiendo entre las actividades de procesamiento de datos permanentes (como los sistemas de comunicación y la contabilidad) y las temporales (como las vinculadas a proyectos o asignaciones temporales). La creación y mantenimiento de registros en múltiples sistemas no está prohibida por el RGPD.
Si tiene dificultades para proporcionar la información solicitada, su delegado de protección de datos (si su organización tiene uno) puede ayudarle.
Lista de comprobación (registros de procesamiento)
|