Registro de actividades de tratamiento
Con el Reglamento General de Protección de Datos (en adelante RGPD) desaparece la obligación de notificar la inscripción de ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente, sin perjuicio de la obligación de implementar el Registro de Actividades de Tratamiento.
Apartado 1 del artículo 30 del RGPD
“Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. Adicionalmente indica que “cada encargado y, en su caso, el representante del encargado”, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
En la práctica, puede identificarse un tratamiento como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica. Cada tratamiento incluirá una serie de operaciones como, por ejemplo la recogida, registro, organización, estructuración, consulta o utilización de los datos.
Una actividad de tratamiento se debe incluir en el registro de actividades en el momento previo antes de su puesta en marcha. Para facilitar la documentación del registro se puede utilizar la información previa documentada en los análisis iniciales realizados durante la fase de definición de la operación de tratamiento, teniendo en cuenta que la estructura del mismo deberá corresponder a lo que el punto 1 del artículo 30 del RGPD detalla.
Artículo 30 del RGPD
“El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite”.
Registro de Actividades de tratamiento de EOI Avilés
a)Profesores y personal no docente
Actividad de Tratamiento | Profesores y personal no docente |
Finalidad | Datos de contacto y profesionales del personal de la escuela para la gestión de recursos humanos y educación. |
Legitimación del tratamiento | RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. |
Interesados o afectados | Profesores y personal no docente de la Escuela Oficial de Idiomas de Avilés. |
Categorías de datos personales |
|
Categorías de destinatarios | Entidades financieras, Agencia tributaria. |
Transferencias internacionales | No están previstas transferencias internacionales de datos |
Plazo de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativo de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria. |
Medidas de seguridad | Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias. |
b)Proveedores y otros contactos
Actividad de Tratamiento | Proveedores y otros contactos |
Finalidad | Gestión de las personas físicas y jurídicas ajenas a la escuela y que intervienen en la contratación y adquisición de bienes y/o servicios |
Legitimación del tratamiento | RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales |
Interesados o afectados | Proveedores |
Categorías de datos personales |
|
Categorías de destinatarios | Hacienda pública y Administración tributaria, entidades financieras, otros órganos de la Administración de la Comunidad Autónoma |
Transferencias internacionales | No están previstas transferencias internacionales de datos |
Plazo de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria. |
Medidas de seguridad | Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias. |
c) Derechos de los interesados
Actividad de Tratamiento | Derechos de los interesados |
Finalidad | Gestionar las solicitudes de los interesados en el ejercicio de los derechos que establece el Reglamento General de Protección de datos. |
Legitimación del tratamiento | RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Reglamento General de Protección de Datos. |
Interesados o afectados | Interesados que presentan solicitudes para el ejercicio de los derechos que establece el RGPD. |
Categorías de datos personales | Datos de carácter identificativo: NIF/DNI, nombre, apellidos, dirección (calle/plaza, número, localidad, provincia, código postal y Comunidad autónoma), firma, correo electrónico. |
Categorías de destinatarios | No están previstas comunicaciones de datos |
Transferencias internacionales | No están previstas transferencias internacionales de datos |
Plazo de supresión | Se conservarán durante el tiempo necesario para resolver las reclamaciones, así como para evitar el carácter repetitivo de las mismas. Será de aplicación lo dispuesto en la normativa de archivos y documentación. |
Medidas de seguridad | Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias. |
Contactos
Actividad de Tratamiento | Contactos |
Finalidad | Gestión de correos electrónicos dirigidos al centro a través de la página Web del centro |
Legitimación del tratamiento | RGPD: 6.1.a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. |
Interesados o afectados | Interesados que envían correo electrónico al centro educativo |
Categorías de datos personales | Datos de carácter identificativo: nombre, correo electrónico. |
Categorías de destinatarios | No están previstas comunicaciones de datos |
Transferencias internacionales | No están previstas transferencias internacionales de datos |
Plazo de supresión | Se conservarán mientras el interesado no retire su consentimiento al tratamiento de sus datos |
Medidas de seguridad | Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias. |
Alumnos
Actividad de Tratamiento | Alumnos |
Finalidad | Gestión de los alumnos del centro educativo |
Legitimación del tratamiento | RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento Ley Orgánica 3/2006, de 3 de mayo, de Educación, modificada por la Ley Orgánica 8/2013, de 9 de diciembre |
Interesados o afectados | Estudiantes y representantes legales |
Categorías de datos personales |
|
Categorías de destinatarios | Otros órganos de la comunidad autónoma, otro órganos de la administración local |
Transferencias internacionales | No están previstas transferencias internacionales de datos |
Plazo de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativo de archivos y documentación. |
Medidas de seguridad | Las medidas de seguridad implantadas se corresponden con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman la Política de protección de datos y seguridad de la información de la Administración del Principado de Asturias. |