Inventario de actividades de tratamiento

Además del registro de actividades de tratamiento, las entidades señaladas en la LOPDGDD en su artículo 77.1, con fines de transparencia (Art. 6.bis Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno), deberán hacer público el inventario de sus actividades de tratamiento de manera que sea accesible por medios electrónicos (Art. 31.2 LOPDGDD) donde se incluya, para cada actividad de tratamiento:

• el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
• la base jurídica del tratamiento;
• los fines del tratamiento;
• una descripción de las categorías de interesados y de las categorías de datos personales;
• las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
• en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo2, la documentación de garantías adecuadas;
• cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad. En dicha descripción general debe evitarse cualquier información que pudiera ser perjudicial para la organización, para los tratamientos de datos personales y que comprometiese la propia seguridad. Se recomienda contar con el Responsable de Seguridad o CISO con carácter previo a la publicación de dicha descripción general o, en su caso, utilizar una referencia general a los estándares de seguridad utilizados.