¿Qué es el Registro de las Actividades de Tratamiento?

Son muchas las empresas que hoy en día siguen promocionando el cumplimiento de la normativa sobre protección de datos basándose en la diligencia de haber inscrito sus ficheros de datos en la Agencia Española de Protección de Datos (AEPD) a través de cláusulas o políticas de privacidad.

Sin embargo, estas entidades deben saber que desde la aplicación del Reglamento General de Protección de Datos (RGPD), el 25 de mayo de 2018, se modificó la notificación e inscripción registral de los ficheros que contuviesen datos personales ante la AEPD por la confección propia por parte del responsable, e incluso también del encargado del tratamiento, del Registro de las Actividades de Tratamiento (RAT).

Dichos registros internos, de acuerdo con el artículo 30 del RGPD, deben contener, como mínimo, una determinada información dependiendo de si tratan los datos como Responsable o como Encargado del Tratamiento:

RAT llevado a cabo por un Responsable del Tratamiento: Debe contener el nombre y datos de contacto del responsable y, en su caso, de los corresponsables, representantes y Delegado de Protección de Datos; las finalidades del tratamiento; la descripción de categorías de interesados de que se trate; las categorías de destinatarios de los datos (si los hubiese); las transferencias internacionales de datos personales (si las hubiese); los plazos previstos para la supresión de las diferentes categorías de datos; y una descripción general de las medidas técnicas y organizativas de seguridad.

RAT llevado a cabo por un Encargado del Tratamiento: Debe contener el nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado, y del Delegado de Protección de Datos; las categorías de tratamientos efectuados por cuenta del responsable; las transferencias internacionales de datos personales (si las hubiese); así como una descripción general de las medidas técnicas y organizativas de seguridad.

Si nos fijamos, estos registros son una muestra sintetizada que permite conocer inmediatamente a la entidad qué hace con los datos que esta está tratando y, aunque hay factores comunes entre distintas empresas, dependerán de la realidad de cada una. Algunos ejemplos de Actividades de Tratamiento son los siguientes: “Gestión de clientes”; “Contabilidad”; “Gestión de Recursos Humanos”; “Gestión de proveedores”; “Atención de Derechos”; “Prevención de Riesgos Laborales”, “Videovigilancia”, o “Comunicaciones Comerciales”, entre otros.

En definitiva, es una medida más de la Responsabilidad Proactiva o Accountability (artículo 5.2 RGPD) que rige el Reglamento General de Protección de Datos en donde la entidad no solo debe cumplir con la norma sino demostrar que está cumpliendo con ella dado que, al no disponer ya la Autoridad de Control de los ficheros, las entidades que estén tratando datos, como Responsables o como Encargados, deberán tener el RAT en todo momento a disposición de dicho ente público cuando este lo solicite, lo que conlleva una supervisión y actualización continua por parte del responsable y el encargado de sus registros de acuerdo con su realidad y considerándose una infracción grave el no disponer del mismo.

José Manuel Cañedo

Abogado

jcanedo@binauramonlex.com