Registro General de Protección de Datos y cumplimiento
Las empresas controlan y procesan cientos o miles de diferentes tipos de datos todos los días. A menudo se recogen automáticamente, se almacenan y se guardan indefinidamente. Gracias al Registro General de Protección de datos los usuarios de la Unión Europea pueden adquirir una mayor visibilidad acerca de cómo se procesa o controla su información personal, entendiendo a qué riesgos están expuestos.
¿Por qué es necesario un Registro General de Protección de Datos?
El Registro General de Protección de Datos es un órgano que surgió para garantizar la visibilidad de la información de los ciudadanos que las organizaciones recogen a través de la publicidad. Publicando una relación de los ficheros recogidos por cada empresa, sus características y el tratamiento se consigue aumentar la protección de la privacidad en relación al tratamiento de datos.
El principal valor del Registro General de Protección de Datos es su carácter público y la forma en que tanto la Administración, como las entidades privadas quedan obligadas a inscribir los ficheros que recopilan, guardan y procesan.
Sin embargo, para el cumplimiento del Reglamento de Protección de datos ya no es preciso realizar la inscripción de los ficheros en la web de la Agencia Española de Protección de Datos. Hoy basta con que cada organización realice un registro de actividades de tratamiento que facilite el ejercicio de los derechos ARCO de los interesados y el control por parte de la Autoridad.
¿Cómo estar preparado para cumplir con los requisitos del RGPD?
El Reglamento general de protección de datos requiere que las empresas mantengan registros sobre fines de procesamiento, intercambio de datos y almacenamiento. Este nivel de control implica la necesidad de una mayor diligencia en la gestión de los activos informacionales por parte de todas las organizaciones.
Es necesario que lleven al día su propio registro de datos, que incluya información acerca de:
- Datos recogidos y procesos en los que se utilizan.
- Dónde se almacenan.
- Cómo se mueven.
- Con quién se comparten.
- Cómo se interrelacionan con otra información de la empresa.
- Cómo se clasifican
- Nivel de protección que refleja su clasificación.
- Indicador de integridad, disponibilidad y confidencialidad.
En la práctica, la forma más fácil de crear y mantener una lista completa de todas las formas en que la empresa procesa datos es diseñando un registro donde se concreten aspectos, como:
- El nombre y los datos de contacto del controlador y el oficial de protección de datos.
- Los propósitos del procesamiento de la información.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a los que se han divulgado o se divulgarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de la transferencia, la documentación que acredite que se han aplicado las garantías adecuadas.
- Cuando sea posible, los límites de tiempo previstos para el borrado de las diferentes categorías de datos.
Además, hay que recordar que mantener un registro de las actividades de procesamiento no es un ejercicio único.
La información que se documente debe reflejar la situación actual en lo que respecta al procesamiento de datos personales y, por lo tanto, debe tratarse el registro como un documento vivo que hay que actualizar cuando sea necesario. Esto implica realizar revisiones periódicas de la información que se procesa para asegurarse de que toda la documentación que pueda solicitar la Autoridad competente siga siendo precisa y actualizada.
¿Está tu organización preparada para gestionar las actividades de tratamiento de datos como lo hacía hasta ahora el Registro General de Protección de Datos?