El Registro de Actividades de Tratamiento apareció en el nuevo RGPD para sustituir la inscripción obligatoria de ficheros ante la Agencia Española de Protección de Datos que estaba vigente en la LOPD 15/1999.
Este registro establece que cada responsable, o encargado, del tratamiento debe llevar un registro de las actividades de tratamiento que se han efectuado bajo su responsabilidad.
Corresponde a cada organización decidir el nivel al que desean desarrollar este registro de datos de carácter personal asociado a su actividad, así como la optimización de la gestión de esos datos para que sea un proceso ágil y efectivo y garantice el cumplimiento de la normativa.
Al final, el objetivo siempre es el mismo: asegurar que los individuos cuyos datos personales son tratados puedan tener control sobre ellos y toda la información necesaria en torno a su tratamiento.
¿Qué incluye el Registro de Actividades de Tratamiento?
En este documento deben registrarse datos como:
- Nombre y datos del contacto del responsable, del representante del responsable, y del delegado de protección de datos
- Los fines del tratamiento
- Descripción de las categorías de interesados y de las categorías de datos personales
- Categorías de los destinatarios a quienes se comunicaron esos datos personales
- De darse el caso, las transferencias de datos personales a terceros países u organizaciones, así como la documentación de garantías adecuadas
- Si es posible, la previsión de plazos para la supresión de las categorías de datos
- Si es posible, descripción general de las medidas técnicas y organizativas de seguridad aplicadas
Si es el encargado del tratamiento el que debe llevar el Registro de Actividades del Tratamiento, este deberá contener:
- Nombre y datos de contacto del encargado y del responsable a cuenta de quien actúa
- Categorías de tratamientos efectuados por cuenta de cada responsable
- De darse el caso, las transferencias de datos personales a terceros países y organizaciones internacionales, así como la documentación de garantías adecuadas
- Si es posible, descripción general de las medidas técnicas y organizativas de seguridad aplicadas
¿Cómo organizar el Registro de Actividades del Tratamiento?
El registro deberá constar por escrito, además de en formato electrónico, y tiene que estar disponible para cualquier autoridad de control que pudiese solicitarlo.
A la hora de elaborar el RAT, y en base a lo establecido por la Agencia Española de Protección de Datos, el responsable del tratamiento tiene dos posibilidades:
- Partir de los ficheros existentes en el Registro General de Protección de Datos y detallar las operaciones que se realizan sobre cada conjunto estructurado de datos
- Elaborar el RAT en torno a actividades de tratamiento concretas que tengan un vínculo o finalidad común
La elaboración de un Registro de Actividades de Tratamiento es una práctica muy recomendable, además de una gran herramienta que permite al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa, un factor esencial y obligatorio en la normativa del RGPD.
¿Tienes dudas? Ponte en contacto con nosotros para que podamos resolverlas.