Siempre que hay un dato, hay un interesado. Y siempre que hay un tratamiento debe haber un registro de actividad, obligatorio por parte de empresas y organizaciones de Andorra.
Emindset Law Andorra
El Reglamento General de Protección de Datos (RGPD) incorpora una serie de obligaciones en cumplimiento del principio de responsabilidad proactiva. Para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados, el RGPD obliga al responsable y encargado del tratamiento mantener un Registro de las Actividades de Tratamiento efectuadas bajo su responsabilidad.
En Andorra, la normativa aplicable en materia de protección de datos es la Llei 29/2021 del 28 d’octubre, qualificada de protecció de dades personals (LQPD). Esta Ley en su artículo 34 dispone que las organizaciones y entidades públicas y privadas han de llevar un registro de actividades de tratamiento, considerando infracción grave (art. 72.2d) no disponer de dicho registro e infracción leve (art. 72.3h) disponer de un registro incompleto.
¿Qué contenido debe tener el Registro de Actividades de Tratamiento?
Para cumplir con esta obligación, la ley andorrana de protección de datos, en su art. 34.3 establece que el Registro de Actividades de Tratamiento ha de contener toda la información siguiente:
- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
- Los fines del tratamiento;
- Una descripción de las categorías de interesados y de las categorías de datos personales;
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 45, apartado 2, la documentación de garantías adecuadas;
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 35, apartado 1.
¿Cómo confeccionar el Registro de Actividades de Tratamiento?
Para organizar este registro de actividades de tratamiento se puede:
- Partir de los ficheros que actualmente tienen notificados los responsables en la Agencia Andorrana de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
- Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.
La Agencia Andorrana de Protección de Datos facilita a las empresas y organizaciones del país un modelo de Registro de Tratamiento de Datos, que podéis descargar aquí.
¿Cómo podemos ayudarte?
En Emindset Law contamos con abogados especializados en materia de protección de datos en Andorra que puede ayudar a tu empresa, negocio u organización a cumplir con las obligaciones de la LQPD y, en concreto con el Registro de Actividades de Tratamiento.
contact@emindsetlaw.com / +376 728 882 o +376 678 882