RGPD El artículo 30 exige que las organizaciones mantengan registros adecuados (esencialmente cuentas escritas) de todas las actividades relacionadas con el procesamiento.
Esta obligación representa la expresión de varios principios del tratamiento de datos:
Registros de actividades de procesamiento
- Cada responsable del tratamiento y, en su caso, su representante, mantendrá un registro de las actividades de tratamiento bajo su responsabilidad. Ese registro contendrá toda la siguiente información:
- El nombre y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes los datos personales han sido o serán revelados, incluidos destinatarios en terceros países u organizaciones internacionales.
- Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la documentación adecuada salvaguardias.
- Cuando sea posible, los plazos previstos para la supresión de las distintas categorías de datos.
- Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1.
- Cada procesador y, cuando corresponda, el representante del procesador deberán mantener un registro de todas las categorías de actividades de procesamiento realizadas en nombre de un controlador, que contenga:
- El nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúa el encargado y, en su caso, del responsable o del representante del encargado, y del delegado de protección de datos.
- Las categorías de tratamientos realizados por cuenta de cada responsable.
- Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la documentación adecuada salvaguardias.
- Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1.
- Los registros a que se refieren los apartados 1 y 2 se realizarán por escrito, incluso en formato electrónico.
- El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición de la autoridad de control previa solicitud.
- Las obligaciones a que se refieren los apartados 1 y 2 no se aplicarán a una empresa u organización que emplee a menos de 250 personas a menos que el tratamiento que lleve a cabo pueda entrañar un riesgo para los derechos y libertades de los interesados, el tratamiento no sea ocasional , o el tratamiento incluye categorías especiales de datos a que se refiere el artículo 9, apartado 1, o datos personales relacionados con condenas penales e infracciones a que se refiere el artículo 10.
Reserva una charla de 30 minutos con nosotros y te mostraremos cómo
Registros de actividades de procesamiento
- Cada responsable del tratamiento y, en su caso, su representante, mantendrá un registro de las actividades de tratamiento bajo su responsabilidad. Ese registro contendrá toda la siguiente información:
- El nombre y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes los datos personales han sido o serán revelados, incluidos destinatarios en terceros países u organizaciones internacionales.
- Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la documentación adecuada salvaguardias.
- Cuando sea posible, los plazos previstos para la supresión de las distintas categorías de datos.
- Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1, o, según corresponda, las medidas de seguridad a que se refiere el artículo 28, apartado 3, de la Ley de 2018.
- Cada procesador y, cuando corresponda, el representante del procesador deberán mantener un registro de todas las categorías de actividades de procesamiento realizadas en nombre de un controlador, que contenga:
- El nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúa el encargado y, en su caso, del responsable o del representante del encargado, y del delegado de protección de datos.
- Las categorías de tratamientos realizados por cuenta de cada responsable.
- Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la documentación adecuada salvaguardias.
- Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1. O, en su caso, las medidas de seguridad a que se refiere el artículo 28, apartado 3, de la Ley de 2018.
- Los registros a que se refieren los apartados 1 y 2 se realizarán por escrito, incluso en formato electrónico.
- El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición del Comisario, previa solicitud.
- Las obligaciones a que se refieren los apartados 1 y 2 no se aplicarán a una empresa u organización que emplee a menos de 250 personas a menos que el tratamiento que lleve a cabo pueda entrañar un riesgo para los derechos y libertades de los interesados, el tratamiento no sea ocasional , o el tratamiento incluye categorías especiales de datos a que se refiere el artículo 9, apartado 1, o datos personales relacionados con condenas penales e infracciones a que se refiere el artículo 10.
El artículo 30 del RGPD aborda cuatro áreas clave del mantenimiento de registros:
El artículo 30 también describe las excepciones que se aplican a cualquiera de las áreas anteriores, en particular la que cualquier organización que emplee a menos de 250 personas no está obligada a mantener registros de procesamiento, excepto cuando los derechos y libertades de los interesados "no sean ocasionales" o la organización procese "categorías especiales" de datos o datos delictivos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.
Al hacerlo, las organizaciones deberían:
Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.
Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:
Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entender obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.
Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.
Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
En esta sección hablamos de los artículos 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) y 30 (5)
Las organizaciones deben mantener un conjunto completo de registros que respalden sus acciones y obligaciones como procesadores de PII.
Los registros (también conocidos como "listas de inventario") deben tener un propietario delegado y pueden incluir:
De vez en cuando, puede surgir la necesidad de transferir PII entre dos jurisdicciones distintas. Cuando esto ocurre, las organizaciones deben justificar y documentar la necesidad de hacerlo.
Las normas legales y reglamentarias regionales varían dependiendo de dónde se originaron los datos y adónde se transferirán.
Las organizaciones deben tener en cuenta todas las leyes, marcos y regulaciones pertinentes siempre que necesiten transferir datos entre jurisdicciones, incluido el uso de una autoridad supervisora designada.
Las organizaciones deben mantener una lista documentada de los países y organizaciones a los que potencialmente podrían transferir su PII, en circunstancias razonables.
Una vez que hayan formulado una lista, las organizaciones deben poner la información a disposición de sus clientes, incluida cualquier operación de PII subcontratada (consulte la cláusula 27701 de ISO 7.5.1).
En determinadas circunstancias, especialmente en el caso de investigaciones penales, las leyes de confidencialidad pueden impedir que la organización revele la identidad de los países y organizaciones de destino por adelantado (consulte las cláusulas 27701 y 8.5.4 de ISO 8.5.5).
Es de vital importancia que las organizaciones mantengan un registro preciso de las transferencias de PII a organizaciones de terceros.
Las organizaciones deben poder registrar la PII que haya sido modificada de cualquier manera (de acuerdo con las obligaciones y objetivos de los controladores), o las transferencias que sean necesarias antes de ejecutar una solicitud del director de la PII para cambiar o borrar la PII.
Los registros deben estar sujetos a un período de retención proporcional y deben estar sujetos a reglas de minimización de datos que devuelvan solo lo necesario para cumplir un objetivo específico.
Las organizaciones deben registrar cualquier divulgación de PII a terceros, incluidos los siguientes tres datos:
Es una práctica estándar divulgar PII por diversas razones, durante toda la operación de procesamiento de información de una organización.
Se deben realizar registros de las divulgaciones que ocurren durante las prácticas comerciales normales y de cualquier circunstancia especial que surja (es decir, investigaciones regulatorias o legales).
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
En esta sección hablamos de los artículos 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) y 30 (5) del RGPD.
Las organizaciones deben mantener registros precisos y actualizados que les permitan, en cualquier momento, evidenciar el cumplimiento de cualquier obligación contractual relacionada con el procesamiento de la PII.
Dependiendo de la jurisdicción, es posible que los registros deban incluir:
Las organizaciones deben contar con planes concretos que regulen cómo se puede utilizar la PII. devuelto, transferido or dispuesto y poner todas esas pólizas a disposición del cliente.
Hay varios escenarios que requieren la eliminación de PII, incluidos (pero no limitados a):
Las organizaciones deben brindar garantías categóricas de que cualquier PII que ya no sea necesaria será destruida de acuerdo con la legislación vigente o las directrices regionales.
Todas las políticas de eliminación deben estar disponibles para el cliente a pedido y deben cubrir el período de tiempo que las organizaciones tienen para destruir la PII, una vez que se rescinde el contrato.
Las organizaciones deben mantener una lista precisa y actualizada de los países u organizaciones a los que se puede transferir la PII.
Los clientes deberían poder ver una lista de posibles países y organizaciones receptores en cualquier momento, incluido un registro de todos los países involucrados en la subcontratación de PII (ver ISO 27701 Cláusula 8.5.1).
En determinadas circunstancias, las organizaciones no siempre podrán divulgar con antelación de dónde proceden las solicitudes de transferencia, especialmente en casos de procesos penales. Esto es inevitable y debería ser la prioridad de la organización mantener la integridad de una operación de aplicación de la ley (ver ISO 27701 Cláusulas 7.5.1, 8.5.4 y 8.5.5).
Las organizaciones deben registrar meticulosamente cualquier caso en el que necesiten revelar PII a un tercero.
Siempre que se divulga PII, ya sea como parte de rutinas comerciales estándar o en circunstancias especiales, como un proceso legal o regulatorio en curso, las organizaciones deben registrar lo que se ha divulgado, el destinatario y el motivo subyacente para hacerlo.
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículo 30, apartado 2, letra d) del RGPD UE | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
Artículo 30, apartado 2, letra d) del RGPD UE | 6.15.1.1 | 5.20 |
Artículos 30 (1)(a) al 30 (5) del RGPD UE | 7.2.8 | Ninguna |
Artículo 30 (1)(e) del RGPD UE | 7.5.1 | Ninguna |
Artículo 30 (1)(e) del RGPD UE | 7.5.2 7.5.1 8.5.4 8.5.5 | Ninguna |
Artículo 30 (1)(e) del RGPD UE | 7.5.3 | Ninguna |
Artículo 30, apartado 1, letra d) del RGPD UE | 7.5.4 | Ninguna |
Artículos 30 (2)(a) al 30 (5) del RGPD UE | 8.2.6 | Ninguna |
Artículo 30, apartado 1, letra f) del RGPD UE | 8.4.2 | Ninguna |
Artículo 30, apartado 2, letra c) del RGPD UE | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Ninguna |
Artículo 30, apartado 1, letra d) del RGPD UE | 8.5.3 | Ninguna |
ISMS.online le ayuda a demostrar un nivel de protección que supera lo "razonable" en una ubicación segura y siempre activa.
Hacemos que el mapeo de datos sea una tarea sencilla. Al agregar los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento, puede registrarlo y revisarlo todo fácilmente.
Si sucede lo peor, estarás preparado.
Con nuestras herramientas, puede planificar, comunicar, documentar y aprender de cada infracción.
Descubre más por reservando una demostración de 30 minutos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Solicite un presupuesto