Registro de actividades de tratamiento

Registro de actividades de tratamiento

Con el Reglamento General de Protección de Datos (en adelante RGPD) desaparece la obligación de notificar la inscripción de ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente, sin perjuicio de la obligación de implementar el Registro de Actividades de Tratamiento.

Apartado 1 del artículo 30 del RGPD

“Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. Adicionalmente indica que “cada encargado y, en su caso, el representante del encargado”, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.

En la práctica, puede identificarse un tratamiento como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica. Cada tratamiento incluirá una serie de operaciones como, por ejemplo la recogida, registro, organización, estructuración, consulta o utilización de los datos.

Una actividad de tratamiento se debe incluir en el registro de actividades en el momento previo antes de su puesta en marcha. Para facilitar la documentación del registro se puede utilizar la información previa documentada en los análisis iniciales realizados durante la fase de definición de la operación de tratamiento, teniendo en cuenta que la estructura del mismo deberá corresponder a lo que el punto 1 del artículo 30 del RGPD detalla.

Artículo 30 del RGPD

“El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite”.

"Así mismo, según el Artículo 31.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, “los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal”.

Registro de Actividades de tratamiento del Colegio Público Buenavista II.

a) Profesores y personal no docente

Actividad de Tratamiento.	Profesores y personal no docente.
Finalidad.	Datos de contacto y profesionales del personal del centro para la gestión de recursos humanos y educación.
Legitimación del tratamiento.	RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Ley 30/1984, de 2 de agosto, de medidas para la reforma de la Función Pública. Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba la Ley del Estatuto Básico del Empleado Público. Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los trabajadores.
Categorías de destinatarios.	Entidades financieras, Agencia tributaria.
Interesados o afectados.	Profesores y personal no docente.
Categorías de datos personales.	•Datos de carácter identificativo: NIF/DNI, nombre, apellidos, teléfono, dirección, imagen/voz, firma, número de seguridad social/Mutualidad, número de registro de personal, número de cuenta bancaria. •Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnóstico). •Datos de características personales: sexo, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos de circunstancias familiares: fecha de alta y baja, licencias, permisos y autorizaciones. •Datos académicos y profesionales. Titulaciones, formación y experiencia profesional. •Datos de detalles de empleo. -Datos de control de presencia: fecha/hora entrada y salida, motivo de ausencia.
Categorías de destinatarios.	Entidades financieras, Agencia tributaria.
Transferencias internacionales	No están previstas transferencias internacionales de datos.
Plazo de supresión.	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativo de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
Medidas de seguridad.	Las medidas de seguridad implantadas se corresponden con Medidas de seguridad las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

b) Proveedores y otros contactos

Actividad de Tratamiento.	Proveedores y otros contactos.
Finalidad.	Gestión de las personas físicas y jurídicas ajenas al centro y que intervienen en la contratación y adquisición de bienes y/o servicios.
Legitimación del tratamiento.	RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales.
Interesados o afectados.	Proveedores.
Categorías de datos personales.	Datos de carácter identificativo: DNI/NIF, Nombre, apellidos, dirección, población, código postal, teléfono, fax, correo electrónico, número de cuenta bancaria. Datos de transacciones de bienes y servicios: histórico de bienes y servicios suministrados. Datos de información comercial. Actividad comercial del proveedor.
Categorías de destinatarios.	Hacienda pública y Administración tributaria, entidades financieras, otros órganos de la Administración de la Comunidad Autónoma.
Transferencias internacionales	No están previstas transferencias internacionales de datos.
Plazo de supresión.	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
Medidas de seguridad.	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

c) Derechos de los interesados

Actividad de Tratamiento.	Derechos de los interesados.
Finalidad.	Gestionar las solicitudes de los interesados en el ejercicio de los derechos que establece el Reglamento General de Protección de datos.
Legitimación del tratamiento.	RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Reglamento General de Protección de Datos.
Interesados o afectados.	Interesados que presentan solicitudes para el ejercicio de los derechos que establece el RGPD.
Categorías de datos personales.	Datos de carácter identificativo: NIF/DNI, nombre, apellidos, dirección (calle/plaza, número, localidad, provincia, código postal y Comunidad autónoma), firma, correo electrónico.
Categorías de destinatarios.	No están previstas comunicaciones de datos.
Transferencias internacionales	No están previstas transferencias internacionales de datos.
Plazo de supresión.	Se conservarán durante el tiempo necesario para resolver las reclamaciones, así como para evitar el carácter repetitivo de las mismas. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
Medidas de seguridad.	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

d) Contactos

Actividad de Tratamiento.	Contactos.
Finalidad.	Gestión de correos electrónicos dirigidos al centro a través del correo electrónico del centro.
Legitimación del tratamiento.	RGPD: 6.1.a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
Interesados o afectados.	Interesados que envían correo electrónico al centro educativo.
Categorías de datos personales.	Datos de carácter identificativo: nombre, correo electrónico.
Categorías de destinatarios.	No están previstas comunicaciones de datos.
Transferencias internacionales	No están previstas transferencias internacionales de datos.
Plazo de supresión.	Se conservarán mientras el interesado no retire su consentimiento al tratamiento de sus datos.
Medidas de seguridad.	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

e) Alumnos

Actividad de Tratamiento.	Alumnos.
Finalidad.	Gestión de los alumnos del centro educativo.
Legitimación del tratamiento.	RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Ley Orgánica 3/2006, de 3 de mayo, de Educación, modificada por la Ley Orgánica 8/2013, de 9 de diciembre
Interesados o afectados.	Estudiantes y representantes legales.
Categorías de datos personales.	Datos de carácter identificativo: NIF/DNI, direcciones postales y teléfonos de contactos familiares, nombre y apellidos, nombres y apellidos de padres, madres o tutores, correo electrónico de padres, madres o tutores, imagen/voz, firma. Datos médicos y de características personales. Datos académicos y profesionales.
Categorías de destinatarios.	Otros órganos de la comunidad autónoma, otros órganos de la administración local.
Transferencias internacionales	No están previstas transferencias internacionales de datos.
Plazo de supresión.	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativo de archivos y documentación.
Medidas de seguridad.	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.