¿Qué es el Registro de Actividades de Tratamiento y por qué tengo que tener uno?
Llevar un registro de las actividades de tratamiento (en adelante “RAT”) puede llegar a considerarse una de las mayores exigencias que se derivan del Reglamento General de Protección de Datos (en adelante “RGPD”). De este modo, su confección es una de las primeras acciones a llevar a cabo para cumplir con el RGPD.
¿Qué es el Registro de Actividades de Tratamiento?
El RAT es un documento interno cuyo objetivo es servir de guía en el seno de la organización que lo gestiona para el cumplimiento de la normativa. Es decir, debe de ser un mapa o foto que refleje con exhaustividad los tratamientos de datos de su titular.
Siendo esto así, un RAT debe reflejar, al menos, los siguientes aspectos:
- a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos,
- b) los fines del tratamiento;
- c) una descripción de las categorías de interesados y de las categorías de datos personales;
- d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional y, en el caso de las transferencias motivadas por intereses legítimos imperiosos, la documentación de las garantías apropiadas para la misma;
- f) los plazos previstos para la supresión de las categorías de datos;
- g) descripción de las medidas técnicas y organizativas de seguridad. A este respecto, la AEPD ha aclarado que la ausencia de determinación de estas medidas únicamente está justificada si se explica debidamente la imposibilidad de preverlas.
No obstante, este contenido varía ligeramente en caso de que se realice por parte de un encargado del tratamiento.
Además de la información mínima exigible, este registro puede integrar otra información que el responsable o encargado estime oportuna para proteger los derechos y libertades de las persona físicas.
De este modo, la Agencia Española de Protección de Datos, ha manifestado que el RAT podría incluir aspectos que faciliten la aplicación efectiva de la responsabilidad proactiva, tales como: “un análisis de riesgos para los derechos y libertades afectados, una descripción sistemática del tratamiento, los sistemas de información sobre los que se apoya, la descripción de la identidad de los encargados del tratamiento, las garantías previstas para llevar a cabo transferencias internacionales de datos, información de contacto de las personas o los departamentos de la organización que se encuentra implicados en las operaciones de tratamiento, etc.”
¿Por qué es importante?
La redacción de un RAT obliga a los responsables y encargados del tratamiento a realizar un análisis previo sobre los tratamientos que van a llevar a cabo en el desarrollo de su actividad.
Siendo esto así, el RAT sirve como medio de prueba para demostrar el cumplimiento de las obligaciones en materia de privacidad ante la AEPD y ello se deslinda del considerando 82 del RGPD que establece que “todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poder a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.
¿Quiénes están obligados?
La normativa vigente indica que están exentas de configurar este registro las organizaciones que empleen a menos de 250 trabajadores. Sin embargo, aquellas que realicen un tratamiento que pueda entrañar un riesgo para los derechos y libertades de los interesados, un tratamiento que no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales deberán contar con un RAT con independencia del número de trabajadores.
¿Qué sucede si no cuentas con un RAT?
De conformidad con el artículo 73. n) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el art. 83.4.a del RGPD no disponer de un RAT cuando sea necesario supone una infracción grave y, en consecuencia, la entidad infractora podrá ser sancionada con multas de hasta 10 millones de euros o el 2% del volumen global de facturación de la empresa.
A este respecto, corresponde indicar que llevar un RAT no es un ejercicio puntual, sino que la información incluída en él debe reflejar la situación actual en lo que respecta al tratamiento de datos personales. Por tanto, se debe tratar el registro como un documento vivo. Es decir, deben realizarse revisiones periódicas de la información que trata para asegurarse de que la información incluida en él es completa, correcta y actual.
Lo cierto es que la AEPD se toma muy enserio el cumplimiento de las obligaciones asociadas al RAT. Siendo esto así, y a modo de ejemplo, cabe señalar la reciente sanción de la AEPD a BURWEBS S.L., entre otros motivos, por mantener un RAT incompleto y desactualizado.
Marta Moreno cuenta con experiencia profesional internacional trabajando tanto en inglés como en francés en el seno de empresas como Microsoft o IBM en las que se ha dedicado al asesoramiento legal en materias como protección de datos, contratación, comercio electrónico o compliance penal.