La AEPD habilita una nueva funcionalidad que permite descargar en formato digital el contenido de la inscripción de ficheros ante el Registro General de Protección de Datos.

 

Esta nueva opción en su sede electrónica permite que las empresas se descarguen el contenido de los ficheros registrados en formato XLS o XML para que sirva de base para el Registro de Actividades de Tratamiento exigido por el artículo 30 del RGPD.

 

El RGPD, que será exigible a partir de mayo del 2018, suprime la obligación de notificar los ficheros ante la Agencia para su inscripción en el Registro General de Protección de Datos pero establece que cada responsable deberá llevar un registro interno con todas las Actividades de Tratamiento efectuadas.

 

El Registro de Actividades de Tratamiento solo será obligatorio para empresas de 250 empleados o más, o para empresas que realicen habitualmente tratamientos de datos personales con cierto nivel de riesgo. No obstante, es una medida muy recomendable y necesaria en la práctica para todas las empresas, ya que es la única forma de garantizar cierto nivel de control interno.

 

Una vez descargado el fichero de la AEPD, habrá que complementarlo para que incluya todos los campos requeridos por la norma, que son los siguientes:

  1. El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos
  2. Los fines del tratamiento
  3. Una descripción de las categorías de interesados y de las categorías de datos personales
  4. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
  5. En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas
  6. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos
  7. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad

 

De esta forma podemos tener un buen punto de partida para crear la versión inicial del Registro de Actividades de Tratamiento, aunque este registro debe mantenerse actualizado. Al tener un mayor nivel de detalle, será necesario que todos los departamentos de la empresa sepan a quién tienen que avisar cuando se vaya a generar una nueva actividad de tratamiento.