El artículo 30 del RGPD establece que: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”.
Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad
Dicho registro deberá contener toda la información indicada a continuación:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Como animal de corto entendimiento que soy y mientras ando puliendo conocimientos sobre la materia en AENOR he ido a la Agencia Española de Protección de Datos (AEPD) donde hay un buen ejemplo de cómo se puede llevar el registro.
[…] la presentación se añadió el Registro de Actividades de Tratamiento (RAT), un BOE (tuneado) que servía de base para la toma de datos de unas supuestas subvenciones, un […]