Registro de actividad de tratamiento
REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DEL COLEGIO PROFESIONAL DE DIETISTAS Y NUTRICIONISTAS DE CASTILLA Y LEÓN
1. IDENTIFICACIÓN RESPONSABLE
COLEGIO PROFESIONAL DE DIETISTAS Y NUTRICIONISTAS DE CASTILLA Y LEÓN (en adelante CODINUCYL).
Dirección: Calle San Ignacio 11 Local 9, 47003 – Valladolid.
Teléfono: 633.711.768
CIF: G4733589.
Delegado de Protección de Datos: PRODA CYL SL.
Tlf: 983.36.38.93
Correo electrónico: protecciondatos@codinucyl.es
En cumplimiento del artículo 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD) el objeto del presente documento consiste en establecer los registros de las actividades del tratamiento titularidad de CODINUCYL, actuando en calidad de: [x] Responsable del tratamiento.
2. VERSIÓN Y TRAZABILIDAD DEL REGISTRO DE ACTIVIDADES
Código | N.º de Edición/Fecha | Edición vigente |
RGPD-RAT-01 | PRIMERA/MAYO 2018 | |
RGPD-RAT-02 | SEGUNDA | |
RGPD-RAT-03 | TERCERA | |
RGPD-RAT-04 | CUARTA | x |
Clasificación | Tipo de documento | Estado |
Público | Documento técnico x | Borrador |
Interno x | Presentación | En revisión |
Uso exclusivo | Propuesta/Informe | Atualizable x |
Confidencial | Otros: | Informe final |
Trazabilidad | Nombre / puesto | Firma / fecha |
Realizado [responsable de actualización y mantenimiento del documento] |
PRODAT CASTILLA Y LEÓN | junio de 2019 |
Revisado | ||
Aprobado |
3. INTRODUCCIÓN
El principio de responsabilidad proactiva o “accountability” (art. 24 RGPD) de las empresas es uno de los aspectos novedosos y esenciales del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en adelante RGPD y se basa en el reconocimiento de responsabilidad y la prevención de las organizaciones que tratan datos personales. En este sentido, el RGPD considera que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, debido a que dicha infracción puede causar daños de difícil compensación o reparación a los interesados.
Así, las organizaciones son responsables de implementar los medios que les permitan realizar un correcto tratamiento de datos personales de forma segura, y además deben ser capaces de demostrar que han actuado con la diligencia debida (art. 5.2 RGPD que implica la inversión de la carga de la prueba). Por tanto, el responsable del tratamiento deberá disponer de documentación que acredite la diligencia en el tratamiento de datos, y el cumplimiento de la normativa.
El RGPD dispone en su Considerando 82 que “para demostrar la conformidad y cumplimiento del mismo, tanto el responsable como el encargado de tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad”.
Tal y como establece el Considerando 89 del RGPD, se suprime la obligación formal del registro de ficheros de las empresas ante la autoridad de control (en nuestro caso la notificación de ficheros ante el RGPD de la Agencia Española de Protección de Datos (AEPD). Sin embargo, el régimen de inscripción se sustituye por una obligación mucho más amplia de documentación de todos los tratamientos de datos realizados (artículo 30 RGPD).
3.1 OBJETO DEL DOCUMENTO
El objeto del presente documento es establecer el registro de las actividades de tratamiento de CODINUCYL a efectos de cumplir con lo establecido en el art. 30 RGPD.
Esta obligación del art. 30 RGPD es aplicable empresas con una plantilla superior a 250 trabajadores (Art.30.5 RGPD), o teniendo menos de 250 trabajadores realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades fundamentales de los interesados, no sea ocasional o incluya categorías especiales de datos (origen étnico o racial, opiniones políticas, las convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos de salud y vida sexual -artículo 9.1 del RGPD) o datos de infracciones o condenas penales recogidos en el artículo 10.
No obstante, el enfoque basado en el riesgo es uno de los pilares del RGPD, apareciendo en reiteradas ocasiones a lo largo de su articulado: art 25 relativo a la privacidad por diseño y por defecto, art 32 relativo a seguridad, art 33 y 34 relativo a la notificación de brechas de seguridad, artículo 35 relativo a las evaluaciones de impacto en protección de datos, artículo 36 relativo a la consulta previa a la autoridad de control y articulo 37 relativo al delegado de protección de datos. Este enfoque basado en el riesgo requiere con carácter previo identificar los tratamientos y los activos implicados, por lo que partirá de la información reflejada en el presente registro de actividades de tratamiento.
Por otra parte, la necesidad de la llevanza del registro de las actividades del tratamiento afecta a CODINUCYL en su calidad de:
- Responsable del tratamiento, respecto a los tratamientos propios (art. 30.1 RGPD).
Los registros de las actividades del tratamiento se mantendrán recogidos en el presente documento y deberán ser actualizados cuando se realicen cambios o se añadan tratamientos no registrados en CODINUCYL. Para ello se deberán establecer revisiones periódicas y el responsable interno del tratamiento deberá prestar atención a los cambios organizativos y técnicos que alteren el contenido de los registros reflejados en el presente documento, debiendo solicitar la modificación del presente documento tan pronto como detecte variaciones en los tratamientos inventariados, asimismo y con carácter extraordinario deberá actualizarse el documento cuando se pretendan iniciar nuevos tratamientos.
Este registro es de uso interno y estará a disposición de la Autoridad de Control (AEPD) cuando sea requerido, tal y como establece el art. 30.4 RGPD.
4. CONTENIDO
CODINUCYL como responsable del tratamiento llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad que contendrá toda la información reflejada en el art. 30.1 RGPD, indicada a continuación:
a) El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos (DPO).
b) Los fines del tratamiento.
c) Una descripción de las categorías de interesados y de las categorías de datos personales.
d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del Reglamento, la documentación de garantías adecuadas.
f) Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
g) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1 RGPD.
Tras el análisis de los diferentes tratamientos realizados por CODINUCYL se han llegado a identificar los tratamientos que se indican continuación:
5. REGISTROS DE ACTIVIDADES DE TRATAMIENTOS REALIZADOS EN CALIDAD DE RESPONSABLE
5.1. ASISTENTES A CURSOS
ASISTENTES A CURSOS | |
Base jurídica del tratamiento |
|
Fines del tratamiento |
|
Colectivos |
|
Categorías de datos |
|
Sistemas utilizados para el tratamiento |
Sistemas automatizados
Sistemas no automatizados
|
Categorías de destinatarios |
|
Transferencia internacional de datos |
|
Plazos de supresión |
|
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.2. GESTIÓN COLEGIAL
COLEGIADOS | |
Base jurídica del tratamiento |
* Ley estatal 02/1974, de 13 de febrero, de colegios profesionales. * Reglamento de Normas Deontológicas de Actuación Profesional de dietistas y nutricionistas. |
Fines del tratamiento |
|
Colectivos | Colegiados |
Categorías de datos |
|
Categorías de destinatarios |
|
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron. |
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.3. CONCURSOS Y PREMIOS
CONCURSOS Y PREMIOS | |
Base jurídica del tratamiento |
|
Fines del tratamiento | Organización y gestión de los premios y concursos organizados o en los que participa CODINUCyL. |
Colectivos | Solicitantes y participantes. |
Categorías de datos | Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono de contacto, email. |
Categorías de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión | Los datos personales de los participantes en premios y concursos serán conservados durante la tramitación del procedimiento de concesión del premio. |
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.4. ENVÍOS INFORMATIVOS
ENVÍOS INFORMATIVOS | |
Base jurídica del tratamiento | RGPD: 6.1 a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. |
Fines del tratamiento | Envío de información y realización de acciones publicitarias (por cualquier medio, incluido los electrónicos) con el objeto de ofrecer a los colegiados, asistentes a cursos y otros interesados, relacionados con la actividad de CODINUCYL y que puedan ser del interés de los usuarios. |
Colectivos |
|
Categorías de datos |
Nombre y apellidos. Datos de contacto: dirección, email y teléfono. |
Categoría de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión | Los datos utilizados para el envío de información y realización de acciones publicitarias se conservarán hasta que se revoque el consentimiento otorgado al efecto por el interesado. |
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.5. GESTIÓN DE CONTACTOS PROFESIONALES
GESTIÓN DE CONTACTOS PERSONALES | |
Base jurídica del tratamiento | RGPD: 6.1.f) Tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado. |
Fines del tratamiento | Gestionar de la relación profesional existente entre las partes. |
Colectivo | Personas de contacto profesionales. |
Categoría de datos |
|
Categoría de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencias internacionales de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron. |
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
GESTIÓN DE CONTACTOS A TRAVÉS DE RRSS | |
Base jurídica del tratamiento |
|
Fines del tratamiento |
|
Colectivos |
|
Categorías de datos | Datos identificativos: Nombre y apellidos, dirección, email, teléfono, imagen/voz. |
Categorías de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. No obstante, recomendamos la revisión de la política de privacidad de las redes sociales principalmente utilizadas por CODINUCYL ya que las redes sociales, al ser norteamericanas, pueden transferir datos a Estados Unidos. |
Plazos de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron. |
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
GESTIÓN DE CONTACTOS WEB | |
Base jurídica del tratamiento | RGPD: 6.1.a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. |
Fines del tratamiento | Gestión de las solicitudes de información realizadas a través de las distintas páginas web de CODINUCyL. |
Colectivos |
|
Categoría de datos |
|
Categorías de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión | Se conservarán durante el tiempo necesario para atender a la solicitud planteada. |
Medidas de seguridad aplicables |
CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.6. GESTIÓN DE LOS ÓRGANOS COLEGIALES
MIEMBROS DE LA JUNTA DE GOBIERNO Y COMISIONES DE TRABAJO | |
Base jurídica del tratamiento |
* Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales. |
Fines del tratamiento |
|
Colectivos |
|
Categoría de datos |
|
Categorías de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión | Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron. |
Medidas de seguridad aplicables |
CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.7. PONENTES
PONENTES | |
Base jurídica del tratamiento |
|
Fines del tratamiento |
|
Colectivos |
|
Categorías de datos |
|
Categorías de destinatarios |
|
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión |
|
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.8. RECURSOS HUMANOS
GESTIÓN DE EMPLEADOS | |
Base jurídica del tratamiento |
* Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. * Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social. * Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social. * Ley 58/2003, de 17 de diciembre, General Tributaria. |
Fines del tratamiento |
|
Colectivos |
|
Categorías de datos |
|
Categorías de destinatarios |
|
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión |
|
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
GESTIÓN DE SELECCIÓN DE PERSONAL | |
Base jurídica del tratamiento |
RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. |
Fines del tratamiento | Gestionar los procesos de selección de personal que realicemos en la entidad. |
Colectivos |
|
Categorías de datos |
|
Categorías de destinatarios | Los destinatarios de los datos serán las distintas áreas del Colegio, así como los terceros a los que cedamos sus datos, conforme a lo dispuesto en la normativa vigente en materia de protección de datos. |
Transferencia internacional de datos | No están previstas transferencias internacionales de los datos. |
Plazos de supresión |
|
Medidas de seguridad | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.9. TESORERÍA
TESORERÍA | |
Base jurídica del tratamiento |
* Ley 58/2003, de 17 de diciembre, General Tributaria.
|
Fines del tratamiento | Gestión contable y financiera del Colegio. |
Colectivos |
|
Categorías de datos |
|
Categorías de destinatarios |
|
Transferencia internacional de datos | No están previstas transferencias internacionaels de los datos. |
Plazos de supresión | Los datos personales de los participantes en premios y concursos serán conservados durante la tramitacion del procedimiento de concesión del premio. |
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. |
5.10. SISTEMA INTERNO DE INFORMACIÓN
GESTIÓN DEL SISTEMA INTERNO DE INFORMACIÓN | |
Otras áreas/departamentos implicados |
|
Base jurídica del tratamiento |
|
Fines del tratamiento |
|
Colectivos |
|
Categorías de datos |
|
Categorías de destinatarios |
|
Transferencia internacional de datos | No está previsto realizar transferencias internacionales de datos. En caso de ser necesarias solo se realizarán a entidades bajo la habilitación del acuerdo MARCO DE PRIVACIDAD DE DATOS UE – EEUU (más información: www.dataprivacyframework.gov) a entidades que hayan demostrado que cumplen con un nivel de protección y garantías de acuerdo con los parámetros y exigencias previstas en la normativa vigente en materia de protección de datos, como el Reglamento General Europeo de Protección de Datos, o cuando exista una habilitación legal para realizar la transferencia internacional como el consentimiento del interesado. En todo caso, se proporcionará la correspondiente información al interesado |
Plazos de supresión |
|
Medidas de seguridad aplicables | CODINUCyL ha establecido las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, estas medidas han sido adoptadas previa valoración por CODINUCyL respecto a la posibilidad de asumir su coste o no. A este tratamiento le serán de aplicación las medidas de seguridad de nivel reforzado recogidas en el procedimiento de medidas de seguridad (ver MED-TYO-01). |