El GDPR estipula que los empresarios deben mantener un registro de actividades de tratamiento (IR) (Art. 30 GDPR). En esta segunda parte sobre el VVT, aprenderá cómo debe ser el contenido de un VVT.

Leer aquí Parte 1 de la serie VVT sobre la obligación de mantener un VVT.

¿Cómo se estructura un VVT?

La obligación de conservar un DVT se establece en el artículo 30 del RGPD. El directorio constituye el núcleo de todo sistema de gestión de la protección de datos (SGD) y permite tener una visión de conjunto de todas las operaciones de tratamiento que tienen lugar en una empresa.

Para ello, una VVT consta aproximadamente de dos partes: Por un lado, datos básicos como el nombre y los datos de contacto del responsable o encargado del tratamiento y, por otro, las actividades individuales de tratamiento. Los contenidos obligatorios para el directorio de un encargado del tratamiento son algo menores (Art. 30 II GDPR) que para un responsable del tratamiento (Art. 30 I GDPR). Esto se debe principalmente al hecho de que están sujetos a instrucciones. Puede obtener más información sobre la distinción entre un controlador y un procesador en aquí.

¿Cómo se crea un VVT?

Tanto si eres controlador como procesador: Puedes crear tu VVT en estos tres sencillos pasos.

Paso 1: Datos básicos en el VVT

El directorio contiene en primer lugar los datos básicos de la persona que crea el VVT.

La persona responsable indica aquí su nombre y datos de contacto, así como los de sus representantes. Si hay más de un responsable, esta información debe facilitarse para todos los responsables. Si el Obligación de designar un responsable de la protección de datostambién se indicarán el nombre y los datos de contacto del interesado.

Además de su propio nombre y datos de contacto, el encargado del tratamiento debe mencionar también los del respectivo mandante y, si procede, los de su delegado de protección de datos.

Etapa 2: Actividades de tratamiento en el TVF

En segundo lugar, el directorio contiene una lista de todas las actividades de tratamiento que tienen lugar. Las operaciones de tratamiento se definen en el artículo 4 nº 2 del RGPD. En primer lugar, el autor del directorio debe ser consciente de qué operaciones de tratamiento se producen en qué áreas de su empresa. También hay que tener en cuenta qué programas informáticos se utilizan y en qué medida tratan datos personales. En aras de la claridad, el VVT también puede subdividirse en grupos supraordenados.

A partir de este paso, como muy tarde, conviene consultar a un responsable de la protección de datos. Especialmente a Responsable externo de protección de datos puede tener una mejor visión de todo lo que ocurre aquí desde el exterior.

Paso 3: Especificar las actividades de tratamiento

Las actividades individuales de tratamiento también deben ir acompañadas de los detalles respectivos especificados en el Art. 30 del GDPR.

Un controlador debe especificar lo siguiente: Fines del tratamiento, categorías de interesados, datos y destinatarios, información sobre la transferencia a terceros países si procede, plazos de supresión/conservación, medidas técnicas y organizativas (MTO). Para estos detalles, también puede hacerse referencia a documentos ya existentes, como la visión general de los TOM (concepto de seguridad), la evaluación de impacto de la protección de datos, la protección de datos o el concepto de supresión.

Un encargado del tratamiento sólo tiene que indicar las categorías de operaciones de tratamiento que realiza por cuenta del responsable del tratamiento respectivo. Además, no se aplican plazos de supresión a su VVT.

Qué más hay que tener en cuenta

El VVT debe conservarse por escrito. El formulario electrónico también es suficiente para este fin. Sólo existe obligación de divulgación si así lo exige la autoridad de control. El VVT puede utilizarse internamente como ayuda en caso de solicitud de información por parte de los afectados.

El VVT debe mantenerse al día y ser actualizado periódicamente por el autor. Es aconsejable realizar los cambios de forma que puedan seguirse durante algún tiempo después.

Para una sociedad instrumental ejemplar, tiene sentido nombrar a un responsable de la protección de datos. Nos ofrecemos como delegado externo de protección de datos. No dude en ponerse en contacto con nosotros también en otros asuntos relacionados con la protección de datos. Nuestro equipo de expertos estará encantado de ayudarle con una solución individualizada.

DSB buchen
es_ESEspañol