Reglamento Protección de Datos: Registro de actividades de tratamiento y gestión de terceros

10/07/2018

En este capítulo, se van a tratar dos aspectos fundamentales del RGPD: el registro de actividades de tratamiento, la raíz del nuevo reglamento, y la gestión de terceros o encargados de tratamiento.

Registro de actividades de tratamiento

En primer lugar, recordar que el tratamiento de datos personales se define como cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación de los datos, así como las divulgaciones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.  Por ejemplo, la gestión de las nóminas de empleados.

En la primera fase del proyecto de implantación del RGPD en el Grupo Vithas se mantuvieron reuniones con los diferentes responsables de cada una de las áreas de la entidad para identificar dónde se trataban datos de carácter personal. Como resultado, se obtuvo el inventario de tratamientos, un documento en el que se recogían para cada tratamiento campos como: departamento responsable, finalidad del tratamiento, legitimación, interesados, origen de los datos, tipo de datos, etc.  El paso posterior fue analizar la necesidad de una Evaluación de Impacto en la Privacidad, aspecto que trataremos en el siguiente capítulo.

En este sentido, en caso de producirse un nuevo tratamiento en el Grupo Vithas, el responsable del área que llevará a cabo el nuevo tratamiento será el encargado, en coordinación con el DPO del Grupo VITHAS, de analizar la necesidad de registrarlo en el inventario de tratamientos. Igualmente, en aquellas situaciones en las que haya una modificación en algún tratamiento de los ya registrados en el inventario de tratamientos, se seguirá el mismo esquema., El Grupo Vithas, dispone de un Procedimiento de Registro de Actividades de Tratamiento en el que se recogen los pautas a seguir en este sentido.

Es muy importante que todo el personal del Grupo Vithas, y especialmente los responsables de las diferentes áreas, tengan conocimiento de los tratamientos de datos de carácter personal que se realizan en su actividad diaria, y que se mantenga “vivo” el inventario de tratamientos en la organización.

Gestión de Terceros 

La relación con aquellas entidades/personas que traten datos personales por cuenta del Grupo Vithas quedará regulada por un contrato en el que se recogerán:

  • Instrucciones del responsable de tratamiento. Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo.
  • Deber de confidencialidad
  • Medidas de seguridad
  • Régimen de la subcontratación. El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.
  • Derechos de los interesados
  • Colaboración en el cumplimiento de las obligaciones del responsable
  • Destino de los datos al finalizar la prestación. Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el encargado del tratamiento debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.
  • Colaboración con el responsable para demostrar el cumplimiento. Permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable

El Grupo Vithas debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas

No olvides que es responsabilidad del Grupo Vithas colaborar sólo con aquellos proveedores que garanticen que el tratamiento de los datos de carácter personales se realiza conforme con el RGPD.

Muchas gracias por vuestra colaboración,