Cómo demostrar el cumplimiento del artículo 30 del RGPD

Versión del RGPD del Reino Unido

Registros de actividades de procesamiento

1. Cada responsable del tratamiento y, en su caso, su representante, mantendrá un registro de las actividades de tratamiento bajo su responsabilidad. Ese registro contendrá toda la siguiente información:
• El nombre y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
• Los fines del tratamiento.
• Una descripción de las categorías de interesados ​​y de las categorías de datos personales.
• Las categorías de destinatarios a quienes los datos personales han sido o serán revelados, incluidos destinatarios en terceros países u organizaciones internacionales.
• Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la documentación adecuada salvaguardias.
• Cuando sea posible, los plazos previstos para la supresión de las distintas categorías de datos.
• Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1, o, según corresponda, las medidas de seguridad a que se refiere el artículo 28, apartado 3, de la Ley de 2018.
2. Cada procesador y, cuando corresponda, el representante del procesador deberán mantener un registro de todas las categorías de actividades de procesamiento realizadas en nombre de un controlador, que contenga:
• El nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúa el encargado y, en su caso, del responsable o del representante del encargado, y del delegado de protección de datos.
• Las categorías de tratamientos realizados por cuenta de cada responsable.
• Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la documentación adecuada salvaguardias.
• Cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a que se refiere el artículo 32, apartado 1. O, en su caso, las medidas de seguridad a que se refiere el artículo 28, apartado 3, de la Ley de 2018.
3. Los registros a que se refieren los apartados 1 y 2 se realizarán por escrito, incluso en formato electrónico.
4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición del Comisario, previa solicitud.
5. Las obligaciones a que se refieren los apartados 1 y 2 no se aplicarán a una empresa u organización que emplee a menos de 250 personas a menos que el tratamiento que lleve a cabo pueda entrañar un riesgo para los derechos y libertades de los interesados, el tratamiento no sea ocasional , o el tratamiento incluye categorías especiales de datos a que se refiere el artículo 9, apartado 1, o datos personales relacionados con condenas penales e infracciones a que se refiere el artículo 10.

Comentario técnico

El artículo 30 del RGPD aborda cuatro áreas clave del mantenimiento de registros:

1. Registros de las actividades de tratamiento por parte del responsable del tratamiento.
2. Registros de las actividades de procesamiento por parte del procesador.
3. Formatos de registros escritos.
4. Las competencias de las autoridades de control.

El artículo 30 también describe las excepciones que se aplican a cualquiera de las áreas anteriores, en particular la que cualquier organización que emplee a menos de 250 personas no está obligada a mantener registros de procesamiento, excepto cuando los derechos y libertades de los interesados ​​"no sean ocasionales" o la organización procese "categorías especiales" de datos o datos delictivos.

Cláusula 27701 de ISO 6.12.1.2 (Abordando la seguridad en los acuerdos con proveedores) y artículo 30 (2) (d) del RGPD de la UE

Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.

Al hacerlo, las organizaciones deberían:

• Ofrezca una descripción clara que detalle la información de privacidad a la que se debe acceder y cómo se accederá a esa información.
• Clasificar la información de privacidad a la que se accederá de acuerdo con un esquema de clasificación aceptado (ver ISO 27002 Controles 5.10, 5.12 y 5.13).
• Dar la debida consideración al propio esquema de clasificación de los proveedores.
• Clasifique los derechos en cuatro áreas principales (legales, estatutarias, regulatorias y contractuales) con una descripción detallada de las obligaciones por área.
• Asegúrese de que cada parte esté obligada a implementar una serie de controles que monitoreen, evalúen y administren los niveles de riesgo de seguridad de la información de privacidad.
• Describa la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (consulte ISO 27002 Control 5.20).
• Facilitar una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información de privacidad y de los activos físicos y virtuales de cualquiera de las partes.
• Establecer controles de autorización necesarios para que el personal del proveedor acceda o vea la información de privacidad de una organización.
• Considerar lo que ocurre en caso de incumplimiento del contrato o de incumplimiento de las estipulaciones individuales.
• Describir un procedimiento de gestión de incidentes, incluido cómo se comunican los eventos importantes.
• Asegúrese de que el personal reciba capacitación en concientización sobre seguridad.
• (Si al proveedor se le permite utilizar subcontratistas) agregue requisitos para garantizar que los subcontratistas estén alineados con el mismo conjunto de estándares de seguridad de la información de privacidad que el proveedor.
• Considere cómo se examina al personal de los proveedores antes de interactuar con la información de privacidad.
• Estipular la necesidad de certificaciones de terceros que aborden la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de privacidad de la organización.
• Tener el derecho contractual de auditar los procedimientos de un proveedor.
• Exigir a los proveedores que entreguen informes que detallen la efectividad de sus propios procesos y procedimientos.
• Concéntrese en tomar medidas para afectar la resolución oportuna y exhaustiva de cualquier defecto o conflicto.
• Asegurar que los proveedores operen con una política BUDR adecuada, para proteger la integridad y disponibilidad de la PII y los activos relacionados con la privacidad.
• Requerir una política de gestión de cambios del lado del proveedor que informe a la organización sobre cualquier cambio que tenga el potencial de afectar la protección de la privacidad.
• Implementar controles de seguridad física que sean proporcionales a la sensibilidad de los datos que se almacenan y procesan.
• (Cuando se vayan a transferir datos) solicite a los proveedores que se aseguren de que los datos y los activos estén protegidos contra pérdidas, daños o corrupción.
• Describa una lista de acciones que deberá tomar cualquiera de las partes en caso de rescisión.
• Pídale al proveedor que describa cómo pretende destruir la información de privacidad después de la terminación, o si los datos ya no son necesarios.
• Tome medidas para garantizar una interrupción mínima del negocio durante un período de transferencia.

Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.

Compatible con controles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Cláusula 6.15.1.1 (Identificación de la legislación aplicable y requisitos contractuales) y artículo 30 (2) (d) del RGPD UE

Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:

• Redacción y/o modificación de procedimientos de seguridad de la información privada.
• Categorizar la información.
• Embarcarse en evaluaciones de riesgos relacionadas con las actividades de seguridad de la información de privacidad.
• Forjar relaciones con proveedores, incluyendo cualquier obligación contractual a lo largo de la cadena de suministro.

Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entender obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.

Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.

Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:

• Respete las leyes que rigen la importación y exportación de hardware o software que tenga el potencial de cumplir una función criptográfica.
• Proporcionar acceso a información cifrada según las leyes de la jurisdicción en la que operan.
• Utilice tres elementos clave de cifrado:
1. Firmas digitales.
2. Focas.
3. Certificados digitales.

Compatible con controles ISO 27002

• ISO 27002 5.20

ISO 27701 Cláusula 7.2.8 (Registros relacionados con el procesamiento de PII) y Artículo 30 del RGPD UE

En esta sección hablamos de los artículos 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) y 30 (5)

Las organizaciones deben mantener un conjunto completo de registros que respalden sus acciones y obligaciones como procesadores de PII.

Los registros (también conocidos como "listas de inventario") deben tener un propietario delegado y pueden incluir:

• Operativo: el tipo específico de procesamiento de PII que se está llevando a cabo.
• Justificaciones: por qué se procesa la PII.
• Categórico: listas de destinatarios de PII, incluidas organizaciones internacionales.
• Seguridad: una descripción general de cómo se protege la PII.
• Privacidad: es decir, un informe de evaluación del impacto sobre la privacidad.

Cláusula 27701 de ISO 7.5.1 (Identificar la base para la transferencia de PII entre jurisdicciones) y artículo 30 (1) (e) del RGPD de la UE

De vez en cuando, puede surgir la necesidad de transferir PII entre dos jurisdicciones distintas. Cuando esto ocurre, las organizaciones deben justificar y documentar la necesidad de hacerlo.

Las normas legales y reglamentarias regionales varían dependiendo de dónde se originaron los datos y adónde se transferirán.

Las organizaciones deben tener en cuenta todas las leyes, marcos y regulaciones pertinentes siempre que necesiten transferir datos entre jurisdicciones, incluido el uso de una autoridad supervisora ​​designada.

ISO 27701 Cláusula 7.5.2 (Países y organizaciones internacionales a las que se puede transferir la PII) y Artículo 30 (1) (e) del RGPD de la UE

Las organizaciones deben mantener una lista documentada de los países y organizaciones a los que potencialmente podrían transferir su PII, en circunstancias razonables.

Una vez que hayan formulado una lista, las organizaciones deben poner la información a disposición de sus clientes, incluida cualquier operación de PII subcontratada (consulte la cláusula 27701 de ISO 7.5.1).

En determinadas circunstancias, especialmente en el caso de investigaciones penales, las leyes de confidencialidad pueden impedir que la organización revele la identidad de los países y organizaciones de destino por adelantado (consulte las cláusulas 27701 y 8.5.4 de ISO 8.5.5).

Compatible con controles ISO 27701

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Cláusula 7.5.3 (Registros de transferencia de PII) y Artículo 30 (1)(e) del RGPD UE

Es de vital importancia que las organizaciones mantengan un registro preciso de las transferencias de PII a organizaciones de terceros.

Las organizaciones deben poder registrar la PII que haya sido modificada de cualquier manera (de acuerdo con las obligaciones y objetivos de los controladores), o las transferencias que sean necesarias antes de ejecutar una solicitud del director de la PII para cambiar o borrar la PII.

Los registros deben estar sujetos a un período de retención proporcional y deben estar sujetos a reglas de minimización de datos que devuelvan solo lo necesario para cumplir un objetivo específico.

ISO 27701 Cláusula 7.5.4 (Registros de divulgación de PII a terceros) y Artículo 30 (1) (d) del RGPD de la UE

Las organizaciones deben registrar cualquier divulgación de PII a terceros, incluidos los siguientes tres datos:

• Lo que se ha revelado.
• ¿A quién se le ha revelado la información?
• Cuándo se realizó la divulgación (fecha y hora).

Es una práctica estándar divulgar PII por diversas razones, durante toda la operación de procesamiento de información de una organización.

Se deben realizar registros de las divulgaciones que ocurren durante las prácticas comerciales normales y de cualquier circunstancia especial que surja (es decir, investigaciones regulatorias o legales).

ISO 27701 Cláusula 8.2.6 (Registros relacionados con el procesamiento de PII) y Artículo 30 del RGPD UE

En esta sección hablamos de los artículos 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) y 30 (5) del RGPD.

Las organizaciones deben mantener registros precisos y actualizados que les permitan, en cualquier momento, evidenciar el cumplimiento de cualquier obligación contractual relacionada con el procesamiento de la PII.

Dependiendo de la jurisdicción, es posible que los registros deban incluir:

• Listas categóricas de procesamiento, cliente por cliente.
• Cualquier transferencia de datos a otros países u organismos internacionales.
• Controles técnicos de seguridad.

ISO 27701 Cláusula 8.4.2 (Devolución, Transferencia o Eliminación de PII) y Artículo 30 (1)(f) del RGPD UE

Las organizaciones deben contar con planes concretos que regulen cómo se puede utilizar la PII. devuelto, transferido or dispuesto y poner todas esas pólizas a disposición del cliente.

• Devolver cualquier PII al cliente.
• Proporcionar la PII a otra organización.
• Destruyendo información.
• Desidentificación.
• Archivado.

Hay varios escenarios que requieren la eliminación de PII, incluidos (pero no limitados a):

Las organizaciones deben brindar garantías categóricas de que cualquier PII que ya no sea necesaria será destruida de acuerdo con la legislación vigente o las directrices regionales.

Todas las políticas de eliminación deben estar disponibles para el cliente a pedido y deben cubrir el período de tiempo que las organizaciones tienen para destruir la PII, una vez que se rescinde el contrato.

Cláusula 27701 de ISO 8.5.2 (Países y organizaciones internacionales a las que se puede transferir la PII) y artículo 30 (2) (c) del RGPD de la UE

Las organizaciones deben mantener una lista precisa y actualizada de los países u organizaciones a los que se puede transferir la PII.

Los clientes deberían poder ver una lista de posibles países y organizaciones receptores en cualquier momento, incluido un registro de todos los países involucrados en la subcontratación de PII (ver ISO 27701 Cláusula 8.5.1).

En determinadas circunstancias, las organizaciones no siempre podrán divulgar con antelación de dónde proceden las solicitudes de transferencia, especialmente en casos de procesos penales. Esto es inevitable y debería ser la prioridad de la organización mantener la integridad de una operación de aplicación de la ley (ver ISO 27701 Cláusulas 7.5.1, 8.5.4 y 8.5.5).

Compatible con controles ISO 27701

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Cláusula 8.5.3 (Registros de divulgación de PII a terceros) y Artículo 30 (1) (d) del RGPD de la UE

Las organizaciones deben registrar meticulosamente cualquier caso en el que necesiten revelar PII a un tercero.

Siempre que se divulga PII, ya sea como parte de rutinas comerciales estándar o en circunstancias especiales, como un proceso legal o regulatorio en curso, las organizaciones deben registrar lo que se ha divulgado, el destinatario y el motivo subyacente para hacerlo.

Compatible con las cláusulas ISO 27701 y los controles ISO 27002

Cómo ayuda ISMS.online

ISMS.online le ayuda a demostrar un nivel de protección que supera lo "razonable" en una ubicación segura y siempre activa.

Hacemos que el mapeo de datos sea una tarea sencilla. Al agregar los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento, puede registrarlo y revisarlo todo fácilmente.

Si sucede lo peor, estarás preparado.

Con nuestras herramientas, puede planificar, comunicar, documentar y aprender de cada infracción.

Descubre más por reservando una demostración de 30 minutos.