Registro de actividades de tratamiento

Con el Reglamento General de Protección de Datos (en adelante RGPD) desaparece la obligación de notificar la inscripción de ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente, sin perjuicio de la obligación de implementar el Registro de Actividades de Tratamiento.

Apartado 1 del artículo 30 del RGPD
“Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. Adicionalmente indica que “cada encargado y, en su caso, el representante del encargado”, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.

En la práctica, puede identificarse un tratamiento como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica. Cada tratamiento incluirá una serie de operaciones como, por ejemplo la recogida, registro, organización, estructuración, consulta o utilización de los datos.

Una actividad de tratamiento se debe incluir en el registro de actividades en el momento previo antes de su puesta en marcha. Para facilitar la documentación del registro se puede utilizar la información previa documentada en los análisis iniciales realizados durante la fase de definición de la operación de tratamiento, teniendo en cuenta que la estructura del mismo deberá corresponder a lo que el punto 1 del artículo 30 del RGPD detalla.

Artículo 30 del RGPD
“El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite”.

Registro de Actividades de tratamiento de EOI Avilés

a)Profesores y personal no docente

Actividad de Tratamiento	Profesores y personal no docente
Finalidad	Datos de contacto y profesionales del personal de la escuela para la gestión de recursos humanos y educación.
Legitimación del tratamiento	RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Ley 30/1984, de 2 de agosto, de medidas para la reforma de la Función Pública. Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba la Ley del Estatuto Básico del Empleado Público. Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los trabajadores.
Interesados o afectados	Profesores y personal no docente de la Escuela Oficial de Idiomas de Avilés.
Categorías de datos personales	Datos de carácter identificativo: NIF/DNI, nombre, apellidos, teléfono, dirección, imagen/voz, firma, número de seguridad social/Mutualidad, número de registro de personal, número de cuenta bancaria. Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnóstico). Datos de características personales: sexo, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos de circunstancias familiares: fecha de alta y baja, licencias, permisos y autorizaciones. Datos académicos y profesionales. Titulaciones, formación y experiencia profesional. Datos de detalles de empleo. Datos de control de presencia: fecha/hora entrada y salida, motivo de ausencia.
Categorías de destinatarios	Entidades financieras, Agencia tributaria.
Transferencias internacionales	No están previstas transferencias internacionales de datos
Plazo de supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativo de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
Medidas de seguridad	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

b)Proveedores y otros contactos

Actividad de Tratamiento	Proveedores y otros contactos
Finalidad	Gestión de las personas físicas y jurídicas ajenas a la escuela y que intervienen en la contratación y adquisición de bienes y/o servicios
Legitimación del tratamiento	RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales
Interesados o afectados	Proveedores
Categorías de datos personales	Datos de carácter identificativo: DNI/NIF, Nombre, apellidos, dirección, población, código postal, teléfono, fax, correo electrónico, número de cuenta bancaria. Datos de transacciones de bienes y servicios: histórico de bienes y servicios suministrados. Datos de información comercial. Actividad comercial del proveedor
Categorías de destinatarios	Hacienda pública y Administración tributaria, entidades financieras, otros órganos de la Administración de la Comunidad Autónoma
Transferencias internacionales	No están previstas transferencias internacionales de datos
Plazo de supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
Medidas de seguridad	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

c) Derechos de los interesados

Actividad de Tratamiento	Derechos de los interesados
Finalidad	Gestionar las solicitudes de los interesados en el ejercicio de los derechos que establece el Reglamento General de Protección de datos.
Legitimación del tratamiento	RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Reglamento General de Protección de Datos.
Interesados o afectados	Interesados que presentan solicitudes para el ejercicio de los derechos que establece el RGPD.
Categorías de datos personales	Datos de carácter identificativo: NIF/DNI, nombre, apellidos, dirección (calle/plaza, número, localidad, provincia, código postal y Comunidad autónoma), firma, correo electrónico.
Categorías de destinatarios	No están previstas comunicaciones de datos
Transferencias internacionales	No están previstas transferencias internacionales de datos
Plazo de supresión	Se conservarán durante el tiempo necesario para resolver las reclamaciones, así como para evitar el carácter repetitivo de las mismas. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
Medidas de seguridad	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

Contactos

Actividad de Tratamiento	Contactos
Finalidad	Gestión de correos electrónicos dirigidos al centro a través de la página Web del centro
Legitimación del tratamiento	RGPD: 6.1.a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
Interesados o afectados	Interesados que envían correo electrónico al centro educativo
Categorías de datos personales	Datos de carácter identificativo: nombre, correo electrónico.
Categorías de destinatarios	No están previstas comunicaciones de datos
Transferencias internacionales	No están previstas transferencias internacionales de datos
Plazo de supresión	Se conservarán mientras el interesado no retire su consentimiento al tratamiento de sus datos
Medidas de seguridad	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.

Alumnos

Actividad de Tratamiento	Alumnos
Finalidad	Gestión de los alumnos del centro educativo
Legitimación del tratamiento	RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Ley Orgánica 3/2006, de 3 de mayo, de Educación, modificada por la Ley Orgánica 8/2013, de 9 de diciembre
Interesados o afectados	Estudiantes y representantes legales
Categorías de datos personales	Datos de carácter identificativo: NIF/DNI, dirección, teléfono, nombre y apellidos, imagen/voz, firma. Datos de características personales. Datos académicos y profesionales
Categorías de destinatarios	Otros órganos de la comunidad autónoma, otro órganos de la administración local
Transferencias internacionales	No están previstas transferencias internacionales de datos
Plazo de supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativo de archivos y documentación.
Medidas de seguridad	Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias.