Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Registro de las actividades de tratamiento

La derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) permitía la creación de ficheros de titularidad privada para contener datos personales con la condición de que fuesen necesarios para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular del fichero, respetando las garantías que la ley preveía para la protección de las personas físicas.

La LOPD imponía al responsable del tratamiento la obligación de notificar, previamente, a la Agencia Española de Protección de Datos la creación de los ficheros. Si los mismos se ajustaban a los requisitos exigibles eran inscritos en el Registro General de Protección de Datos, que podía consultarse en la web de la AEPD, pues era público.

Es una lástima que, con la entrada en vigor del RGPD, se haya perdido la inscripción de los ficheros en el Registro General de Protección de Datos, pues daba publicidad y nos permitía conocer el detalle de las distintas actividades de tratamiento de un responsable. 

Registro de las Actividades de Tratamiento (RAT)

El RGPD impone, en el artículo 30 apartado 1, a cada responsable del tratamiento y, en su caso, a su representante, la obligación de llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. 

El artículo antes referido del RGPD impone un contenido mínimo para el registro de las actividades de tratamiento, si bien nada impide que este se pueda ampliar para mayor detalle. Así, cuando organizo las distintas actividades de tratamiento de datos personales de un cliente suele referenciar la siguiente información en cada actividad: 

  • Identidad y datos de contacto del responsable del tratamiento y de su representante.
  • Identidad y datos de contacto del delegado de protección de datos, si se hubiere designado.
  • Base legal que justifica la actividad de tratamiento.
  • Fines del tratamiento.
  • Categorías de interesados.
  • Categorías de datos personales.
  • Categorías de destinatarios.
  • Origen o procedencia de los datos.
  • Cesiones previstas.
  • Transferencias internacionales y garantías previstas. 
  • Sistemas de tratamiento de la información.
  • Riesgos asociados a la actividad.
  • Evaluación de impacto en la protección de datos.
  • Copias de seguridad.
  • Medidas técnicas y organizativas de seguridad. 
  • Plazos previstos para la supresión de las diferentes categorías de datos.
  • Encargados del tratamiento con acceso a los datos personales.

Sujetos obligados 

Están obligados a llevar un registro de las actividades de tratamiento, los responsables y encargados del tratamiento cuando se da alguno de los siguientes requisitos:

  • La empresa u organización tiene más de 250 empleados.
  • La empresa u organización con menos de 250 empleados realiza tratamientos que:
    • Puedan entrañar un riesgo para los derechos y libertades de los interesados.
    • No sea ocasional.
    • Incluyan categorías especiales de datos personales:
      • Origen étnico o racial.
      • Opiniones políticas.
      • Convicciones religiosas o filosóficas.
      • Afiliación sindical.
      • Tratamiento de datos genéticos.
      • Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
      • Datos relativos a la salud.
      • Datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
  • Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

Cada encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable con el siguiente detalle: 

  • Nombre y datos de contacto del encargado y subencargados y de cada responsable por cuenta del cual actúe, así como del delegado de protección de datos, en su caso.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • Las transferencias de datos personales a un tercer país u organización internacional, con mención del destinatario y la documentación de garantías adecuadas.
  • Una descripción general de las medidas técnicas y organizativas de seguridad.

El responsable y encargado del tratamiento deben mantener sus respectivos registros actualizados, con la obligación de cooperar con la autoridad de control para poner a su disposición los registros, si son solicitados por esta.

Incumplimiento de la obligación de llevanza del RAT

El artículo 73 letra n) de la LOPDGDD tipifica como infracción grave el no disponer del registro de las actividades de tratamiento cuando sea obligatorio.

Como tal infracción podría ser sancionada con multa de hasta 10 millones de euros como máximo o, tratándose de una empresa, el equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, según el artículo 83.4.a) del RGPD.

Conclusión

El registro de las actividades de tratamiento no siempre es obligatorio, pero lo creo imprescindible en cualquier organización porque facilita el control de las distintas actividades. 

El responsable de cada organización, de acuerdo al principio de responsabilidad proactiva, decidirá el nivel de segregación con el que desea registrar las actividades de tratamiento de datos personales y hacerlo bien no siempre es una tarea sencilla.

Por experiencia les digo que la diferencia entre un buen y un mal consultor se nota, a las leguas, en la planificación del registro de las actividades de tratamiento. 

EuskaraCatalàGalegoPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).