El artículo 30 del Reglamento (UE) 2016/67 del Parlamento Europeo de 27 de abril de 2.016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de datos) establece la obligatoriedad de llevar un registro por escrito, incluso en formato electrónico de las actividades de tratamiento con la siguiente información:
Actividades de tratamiento en calidad de responsable en las que se determinan los fines y medios del tratamiento
* Nombre y datos de contacto del responsable
* Los fines del tratamiento
* Una descripción de las categorías de interesados y de las categorías de datos personales
* Las categorías de destinatarios a quienes se comunicaron o comunicarán los daos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
* En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas
* Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos
* Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad
Actividades de tratamiento por encargo de terceros en las que se tratan datos personales por cuenta de un tercero que es el responsable del tratamiento
* Nombre y los datos de contacto del encargado o encargados
* Las categorías de tratamientos efectuados por cuenta de cada responsable
* En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas
* Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad
Si bien es obligatorio este registro solo en el caso de organizaciones que empleen a más de 250 personas o cuando empleen a menos si tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos relativos a condenas e infracciones penales, con independencia de su obligatoriedad o no, se decide su creación y mantenimiento. Por tanto, se ha procedido a definir y diseñar dichas actividades, agrupándolas de tal modo que cada actividad de tratamiento de datos personales responde a una misma finalidad, una base jurídica única y a un mismo colectivo de afectados.
Siendo una administración local, existe la obligación de publicar el Registro de Actividades de Tratamiento en la Página Web de la entidad.