El RGPD establece que los empresarios deben llevar un registro de las actividades de tratamiento (artículo 30 del RGPD). En esta primera parte sobre el VVT, aprenderá quién debe llevar dicho registro y cuáles son las consecuencias en caso de incumplimiento.
Leer aquí Segunda parte de la serie VVT sobre el contenido de un VVT.
¿Por qué un VVT en absoluto?
La obligación de conservar un DVT se establece en el artículo 30 del RGPD. El registro constituye el núcleo de todo sistema de gestión de la protección de datos (SGD).
El directorio ofrece una visión general de todas las operaciones de tratamiento que tienen lugar en una empresa. Estas operaciones pueden controlarse más fácilmente con ayuda de esta visión de conjunto. También facilita la evaluación de riesgos y la identificación de la necesidad de actuar.
Detrás de la normativa sobre VVT está el principio de responsabilidad (Art. 5 II GDPR). También aumenta el control y la transparencia.
¿Cuándo es obligatorio un VVT?
De conformidad con el artículo 30 del RGPD, todo responsable y encargado del tratamiento está obligado a mantener un VVT. El contenido de los directorios difiere en función de si el responsable del directorio es un controlador o un procesador. La lista del artículo 30 I del RGPD se aplica al responsable del tratamiento, mientras que la lista del artículo 30 II del RGPD se aplica al encargado del tratamiento.
Más información sobre el contenido de un VVT aquí.
Las definiciones de responsable y encargado del tratamiento se encuentran en los artículos 4 nº 7 y 8 del RGPD. Más información sobre la distinción entre controlador y procesador en aquí.
¿Cuándo estoy exento de la obligación de conservar un VVT?
Si la persona responsable emplea a menos de 250 trabajadores, en principio puede estar exenta de mantener un VVT. No obstante, existen tres excepciones retrospectivas a esta exención: El VVT vuelve a ser obligatorio si se produce un tratamiento que suponga un riesgo para los derechos y libertades de los interesados (por ejemplo, medidas de vigilancia), no sea sólo ocasional o afecte a categorías especiales de datos (art. 9 o 10 del RGPD). Especialmente la segunda reexcepción (tramitación ordinaria) abarca a casi todas las empresas, de modo que en la inmensa mayoría de los casos existe la obligación de mantener un VVT incluso para las empresas con menos de 250 empleados.
¿Qué ocurre en caso de infracción?
El hecho de que una persona obligada a conservar un DVT no lo conserve o lo conserve de forma incompleta constituye una infracción administrativa con arreglo al artículo 84 IV lit. a del RGPD.
La autoridad de control competente podrá entonces imponer una multa.
¿Necesita ayuda en materia de VVT y protección de datos? Nos ofrecemos como responsables externos de la protección de datos. No dude en ponerse en contacto con nosotros para más información sobre nuestros servicios.
Continuar con la Parte 2 sobre el VVT aquí.