¿Qué es el registro de actividades de tratamiento en protección de datos?

Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) Los fines del tratamiento;

c) Una descripción de las categorías de interesados y de las categorías de datos personales;

d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional.

f)  Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad siguientes: 

 

               a)  La seudonimización y el cifrado de datos personales;

               b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los                           sistemas y servicios de tratamiento; 

               c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de                           incidente físico o técnico; 

              d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y                                  organizativas para garantizar la seguridad del tratamiento.

 


Como encargado de tratamiento

Cada encargado y, en  su  caso, el representante del encargado, llevará un  registro de  todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a)  El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b)  Las categorías de tratamientos efectuados por cuenta de cada responsable;

c)  En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional. 

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad siguientes:  

                a) La seudonimización y el cifrado de datos personales;

                b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los                          sistemas y servicios de tratamiento;

                c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de                          incidente físico o técnico;

              d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y                                  organizativas para garantizar la seguridad del tratamiento. 

Los registros constarán por escrito, inclusive en formato electrónico. 

El responsable y el encargado del tratamiento pondrán el registro a disposición de la autoridad de control que lo solicite. 

Las obligaciones indicadas no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o relativos a condenas e infracciones penales a que se refiere el artículo 10 del Reglamento.