Orientaciones sobre protección de datos – Pregunta 7
¿Cómo se elabora un registro de tratamiento de datos?
Aplicable a la hipótesis n.º 2 (el representante es responsable único del tratamiento de datos), salvo en lo que se refiere a la utilización del servicio de intercambio de archivos de la Comisión.
Es obligatorio legalmente llevar el registro, en particular cuando se estén tratando datos sensibles.
Un registro de las actividades de tratamiento es un documento escrito en el que deben constar:
- el nombre y los datos de contacto del responsable del tratamiento de los datos, así como los del delegado de protección de datos, en su caso;
- las categorías de interesados y las categorías de datos personales tratados;
- los fines del tratamiento y las referencias de la iniciativa correspondiente;
- los destinatarios de los datos personales, es decir, aquellos a quienes se han comunicado o se comunicarán los datos (en este caso, únicamente las autoridades competentes del Estado miembro encargadas de la verificación y certificación de las declaraciones de apoyo);
- las fechas y los canales de dichas transferencias;
- los plazos previstos para la eliminación de los datos;
- una descripción general de las medidas de seguridad técnicas y organizativas, como el cifrado, la capacidad de restaurar, las pruebas y las medidas que garanticen la confidencialidad, la integridad, la disponibilidad y la resiliencia, la seguridad física (véanse las preguntas sobre seguridad en el contexto de la recogida en papel) y la presentación a efectos de verificación a los Estados miembros de las declaraciones de apoyo recogidas.
IMPORTANTE:
No es necesario elaborar un registro aparte que cubra las operaciones de tratamiento llevadas a cabo bajo la responsabilidad compartida con la Comisión, ya que ya están cubiertas por el registro de las actividades de tratamiento establecido por la Comisión (véase la hipótesis n.º 1) y la utilización del servicio de intercambio de archivos de la Comisión contemplado en la hipótesis n.º 2). Es preciso facilitar un enlace al registro de la Comisión en la propia documentación o sitio web.
Referencias: