Del Documento de Seguridad RGPD al registro de actividades
¿Te preguntas qué ha pasado con el Documento de Seguridad RGPD y qué tipo de documento lo sustituye? A raíz de la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) desaparece la figura del documento de seguridad tal y como lo establecía la antigua Ley orgánica de protección de datos (LOPD), dando paso a una nueva figura: el Registro de Actividades.
Desde Letslaw te enseñamos los cambios que supone la aplicación de la nueva legislación e indicamos cómo afectarían a tu empresa de cara a una completa adaptación a la normativa vigente.
El Documento de Seguridad RGPD
El documento de seguridad de la LOPD consistía en un documento interno, de carácter público, que debía reflejar por escrito todo lo relacionado con las medidas, normas, procedimientos de actuación y reglas para asegurar la protección y seguridad de los datos en el intercambio de información y gestión de una organización determinada.
Este documento debía ser custodiado por el Responsable de Seguridad que era, en definitiva, el que estaba encargado de comprobar y registrar el tratamiento que se realiza de los datos personales dentro de la organización.
Antes de la entrada en vigor del RGPD, además de lo anterior, era necesario dar de alta en la Agencia Española de Protección de Datos (AEPD) los ficheros que se correspondían con las diferentes bases de datos que tenía la empresa, dejando constancia de ellos en el propio Documento de Seguridad como tipos de datos tratados, con los niveles que establecía la propia LOPD.
El Registro de Actividades
Con la llegada del RGPD desaparece la figura del Documento de Seguridad. Es decir, no existe un documento de Seguridad RGPD. En este caso, el artículo 30 RGPD establece que todas las empresas deberán tener un Registro de Actividades de tratamiento, tanto si actúan bajo su responsabilidad o por cuenta de un responsable, donde figure:
- El nombre y los datos de la empresa responsable o encargada y del delegado de protección de datos, en su caso.
- Los fines del tratamiento y las categorías de tratamientos efectuados por cuenta de cada responsable.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
- Una descripción general de las medidas técnicas y organizativas de seguridad.
Diferencias entre la aplicación del RGPD y LOPD
Otro cambio relevante relacionado con la aplicación del RGPD es que desaparece la inscripción de ficheros ante la AEPD, con la única obligación de mantener un registro actualizado de las bases de datos de las que se hagan uso, para poder presentarlo en la AEPD ante un eventual requerimiento.
Como se puede apreciar, mientras que la LOPD denota un sentido estático del dato (centrado en ficheros), el RGPD adopta un sentido dinámico (centrado en tratamientos y la libre circulación de los datos tratados).
Así las cosas, es prioritario hacer un inventario de toda la información que manejamos en la empresa, o al menos tener controlada la más sensible, y hacer auditorias de protección de datos constantes, al objeto de evitar sanciones y tomar importantes medidas de prevención de delitos penales.
El Registro de actividades deberá mantenerse en todo momento actualizado y ser revisado cuando se establezcan cambios relevantes en el sistema de información
Destacamos algunos breves consejos prácticos:
- Adoptar normas y medidas vinculadas a la identificación del personal de la organización autorizados a gestionar los datos.
- Control de accesos. Sólo podrá gestionar la información el Delegado de Privacidad, así como los miembros elegidos de forma consensuada, siempre cumpliendo las funciones específicas del tratamiento acordado.
- Dejar huella. En cada acceso habrá que dejar registro de la persona que lo haya utilizado. Se especificará nombre, fecha y hora del fichero utilizado.
- Registrar bien tanto de salida como de entrada los niveles con niveles medios y altos de seguridad.
- Copias de seguridad.
En Letslaw contamos con un equipo especializado en materia de protección de datos personales y con amplia experiencia en auditorias empresariales y organizaciones internas para cumplir estrictamente con las últimas novedades legislativas.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
Artículos Relacionados
The CNMC opens a public consultation on the prohibition of companies from contracting with the administration for distorting competition
Proteger tu identidad en webs y redes sociales
Principales modificaciones de la “Ley Mordaza” y la reforma del Código Penal en el ámbito de Internet
Vitaldent is condemned for trademark infringement on Google Adwords
The Spanish Government approves the right to be forgotten for cancer patients through a Royal Decree
The 10 most common mistakes about «machine learning»