Registro de Actividades de Tratamiento: qué es + PLANTILLA

 

El Registro de Actividades de Tratamiento (RAT) es un requisito del RGPD en el que se describe qué hace una entidad con la información personal que maneja.

Como puede que no sea obligatorio para ti contar con uno y teniendo en cuenta que, a pesar de ello, es extremadamente útil, aquí tienes un post dedicado exclusivamente al RAT, tal y como te prometí en la Guía para cumplir con el RGPD en tu blog.

Y encima, con plantilla y bonus. Empecemos:


También te puede interesar:

🔹 7 mitos sobre la protección de datos y el marketing digital

🔹 Qué es la Política de privacidad y cómo hacerla según el RGPD + INFOGRAFÍA


🔴 Qué es el Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento (RAT) es un procedimiento que exigen el Reglamento General de Protección de Datos (RGPD) y la Ley 3/2018 o nueva Ley Orgánica de Protección de Datos (LOPD) en ciertos casos.

Así, el RAT describe cómo tiene lugar el tratamiento de datos personales en la organización, incluyendo cuestiones como los datos que se tratan, de quién se recoge o trata información, qué medidas de seguridad se aplican o a quién se le envían los datos.

Su contenido y obligatoriedad vienen determinados por el artículo 30 del RGPD y debe constar por escrito y como mínimo en formato electrónico. Su publicación es obligatoria en las Administraciones Públicas, y puede entenderse como una medida de transparencia que otras entidades también lo hagan.

Pero, ¿debo o no debo tener un RAT?

 

🔴 Cuándo es obligatorio tener un RAT

En el artículo 30 del RGPD, en su apartado 5 se dice que el Registro de Actividades de Tratamiento no es obligatorio para responsables del tratamiento y encargados que:

  • Empleen a menos de 250 personas
  • Realicen tratamientos que entrañen un riesgo para los derechos y libertades de los interesados
  • Traten categorías especiales de datos personales
  • Traten datos relativos a condenas e infracciones penales

Es decir, que si tienes más de 250 empleados, realizas tratamientos de riesgo o tratas categorías especiales de datos personales o datos de condenas e infracciones penales, estás obligado a tener un Registro de Actividades de Tratamiento.

No obstante, aunque no sea obligatorio, hacer un Registro de Actividades de Tratamiento es sumamente recomendable en cualquier caso.

Como veíamos en la Guía para cumplir con el RGPD en mi blog, todos los procedimientos que sí son obligatorios según el RGPD requieren saber bien cómo se gestiona la información personal, y el RAT lo explica en un vistazo, convirtiéndose así en una medida de responsabilidad proactiva muy interesante.

Es decir: no es obligatorio, pero nos facilita enormemente la tarea cuando se trata de cumplir con el RGPD.

 

🔴 Contenido del Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento debe contener la información sobre cómo se tratan los datos personales en tu organización, aunque las exigencias de su contenido son ligeramente diferentes en función de si tu rol es el de responsable del tratamiento de los datos o de encargado.

 

🔓 Registro de Actividades de Tratamiento para el responsable

De acuerdo con el artículo 30 del RGPD, un responsable del tratamiento deberá incluir en el Registro de Actividades de Tratamiento:

Artículo 30. Registro de las actividades de tratamiento.

1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1

 

🔓 Registro de Actividades de Tratamiento para el encargado

Por otro lado, el encargado del tratamiento deberá incluir en su RAT qué datos trata de los responsables y cómo lo hace:

Artículo 30. Registro de las actividades de tratamiento.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

Así que, ¿cómo hacer un Registro de Actividades de Tratamiento? Pues si eres un responsable del tratamiento, con la siguiente plantilla:

 

🔓 Plantilla del Registro de Actividades de Tratamiento

Plantilla Registro de Actividades de Tratamiento
Plantilla de Registro de Actividades de Tratamiento para Responsables del Tratamiento

 

🔴 Cómo actualizar un Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento, como todos los demás procedimientos del RGPD, debe mantenerse debidamente actualizado. ¿Cuándo deberemos hacer cambios en nuestro RAT? Pues obviamente, cada vez que cambie la información que tratamos o cómo la tratamos.

Por ejemplo, habrá que revisar el Registro de Actividades de Tratamiento (entre otros procedimientos) si queremos abrir una nueva línea de negocio, si pasamos de no tener empleados a tenerlos… si, en general, realizamos algún tratamiento nuevo que no está debidamente reflejado.

También deberemos actualizarlo cuando cambien las medidas de seguridad que aplicamos para que los datos sean íntegros, confidenciales y permanezcan disponibles, si es que las hemos incluido. Por supuesto, si lo hemos reflejado, también deberemos corregirlo cuando dejemos de trabajar con un encargado y lo sustituyamos por otro, o si cambian los criterios de conservación de los datos.

No obstante, y a pesar de que resultaría lo ideal, pensar continuamente en actualizar el Registro de Actividades de Tratamiento puede ser tedioso al principio, pero no olvides que debemos pensar en la privacidad desde el minuto uno (desde el diseño), pero también por defecto, es decir, cada vez que hacemos algo y en todos los casos.

Así que para encontrar una dinámica práctica para ti o para tu organización en la que puedas cumplir con tus obligaciones y mantener debidamente actualizado tu RAT, quizá sea interesante que establezcas unos días al año cada cierto tiempo para darle un repaso integral a tu sistema de protección de datos.

A todos se nos puede pasar incorporar algunos cambios alguna vez. De esta manera evitarás que la documentación termine desactualizada.

 

🔴 Sanciones relacionadas con el Registro de Actividades de Tratamiento

Cuando se anunció la entrada en vigor del Reglamento (y especialmente cuando se terminó el periodo de adaptación al mismo el 25 de mayo de 2018), las sanciones fueron utilizadas como elemento de alarma.

Aún a día de hoy, lamentablemente, algunas personas intentan usar las sanciones para asustar a futuros clientes de consultoría en protección de datos. Esto, por cierto, es una práctica agresiva en materia de protección de datos según la Disposición adicional decimosexta de la LOPD.

En cualquier caso, si perteneces a una organización o realizas una actividad que te obliga a tener un Registro de Actividades de Tratamiento, querrás saber qué riesgos corres si no lo haces.

 

🔓 Sanciones graves

En la LOPD, en su artículo 73, se definen las infracciones consideradas graves. Estas infracciones implicarían una multa administrativa de 10 millones de euros (€) como máximo (o un 2% de la facturación anual total global), aunque esto no significa que todas las organizaciones que carezcan de RAT vayan a ser multadas con estas cantidades.

Artículo 73. Infracciones consideradas graves.

En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquél, y en particular las siguientes: (…)

n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679.

 

🔓 Sanciones leves

Pero esta no es la única sanción asociada al Registro de Actividades de Tratamiento. Será infracción leve según el artículo 74 de la LOPD:

Artículo 74. Infracciones consideradas leves.
(…)
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.

 

Moraleja: si vas a hacer un RAT, hazlo bien. Y si estás obligado a hacerlo, hazlo mejor todavía.

 

🔴 BONUS: Aplicación para hacer un RAT

Después de toda esta información (y sobre todo al ver la cantidad de elementos que se deben incluir en un Registro de Actividades de Tratamiento), quizá te haya parecido que esto es muy complicado. Pues bien, te traigo un bonus (además de la plantilla) para que hacer un Registro de Actividades de Tratamiento te resulte fácil.

⚠️ La Autoridad Catalana de Protección de Datos tiene una aplicación para gestionar el Registro de Actividades de Tratamiento. Basta que te descargues la aplicación de la web oficial, la instales en tu ordenador y empieces a incluir nuevos tratamientos.

Y ya está, así de sencillo. Ahora no tienes excusa para no hacer un buen Registro de Actividades de Tratamiento.

🔹 Si quieres, las instrucciones de uso del programa están aquí.

🔹 También puedes consultar el Registro de Actividades de Tratamiento de la Agencia Española de Protección de Datos, para encontrar algo de inspiración.

 

Espero que la información que te he traído en este artículo te haya resultado interesante. Yo siempre he entendido el Registro de Actividades de Tratamiento como una herramienta sumamente útil para saber qué información personal se trata, de qué manera y en qué condiciones, y me gustaría que te resultara sencillo aunque no sea obligatorio para ti.

Cuéntame, ¿te ha resultado útil este post?

 

 

Deja un comentario

Información sobre protección de datos
Responsable: Noemí Carro Sánchez Finalidad: Gestión de comentarios de la web Legitimación: Consentimiento de quien comenta Destinatarios: Ninguno, salvo obligación legal y Wordpress Derechos: acceso, rectificación, supresión, portabilidad de los datos, oposición y limitación del tratamiento, retirar el consentimiento, presentar una reclamación ante la AEPD Contacto: contacto@noemicarro.es Más información: Política de privacidad