Registro de Actividades de Tratamiento: qué es + PLANTILLA

El Registro de Actividades de Tratamiento (RAT) es un requisito del RGPD en el que se describe qué hace una entidad con la información personal que maneja. Tal y como te prometí en la Guía para cumplir con el RGPD en tu blog, aquí tienes un post en exclusiva, con plantilla y bonus. Empecemos:


También te puede interesar:

🔹 7 mitos sobre la protección de datos y el marketing digital

🔹 Qué es la Política de privacidad y cómo hacerla según el RGPD + INFOGRAFÍA


🔴 Qué es el Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento (RAT) es un procedimiento que exigen el Reglamento General de Protección de Datos (RGPD) y la Ley 3/2018 o nueva Ley Orgánica de Protección de Datos (LOPD).

El RAT describe cómo tiene lugar el tratamiento de datos personales en la organización, incluyendo cuestiones como los datos que se tratan, de quién se recoge o trata información, qué medidas de seguridad se aplican o a quién se le envían los datos.

Su contenido y obligatoriedad vienen determinados por el artículo 30 del RGPD y debe constar por escrito y como mínimo en formato electrónico. Su publicación es obligatoria también para las Administraciones Públicas, y puede entenderse como una medida de transparencia que otras entidades también lo hagan. Es decir, que si quisieras, también podrías hacerlo público.

Pero, ¿debo o no debo tener un RAT?

 

🔴 Por qué tiene sentido tener un RAT

Hacer un Registro de Actividades de Tratamiento es sumamente recomendable no ya por ser un requisito, sino porque nos permite saber de dónde venimos y a dónde vamos, es decir: qué datos tratamos en nuestro día a día, de quién, cómo los custodiamos y a qué aplicaciones les damos acceso.

Como veíamos en la Guía para cumplir con el RGPD en mi blog, todos los procedimientos que sí son obligatorios según el RGPD requieren saber bien cómo se gestiona la información personal, y el RAT lo explica en un vistazo. Este es el caso del Análisis de Riesgos, que refleja los posibles problemas que podremos enfrentar al tratar datos personales y qué impacto tendría para la privacidad de los usuarios y, consecuentemente, para nuestro negocio.

Además, nos permite detectar posibles puntos de cesión de datos, por ejemplo, cuando utilizamos un sistema de email marketing donde alojamos los datos de nuestros suscriptores y que, incluso, puede hacerlo fuera de la Unión Europea, con la transferencia internacional que ello implica y la complicación asociada al cumplimiento.

 

🔴 Contenido del Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento debe contener la información sobre cómo se tratan los datos personales en tu organización, aunque las exigencias de su contenido son ligeramente diferentes en función de si tu rol es el de responsable del tratamiento de los datos o de encargado.

Si no tienes muy claro tu rol jurídicamente hablando, déjame un comentario y te preparo un post para arrojar un poco más de luz sobre ello.

 

🔓 Registro de Actividades de Tratamiento para el responsable

De acuerdo con el artículo 30 del RGPD, un responsable del tratamiento deberá incluir en el Registro de Actividades de Tratamiento:

Artículo 30. Registro de las actividades de tratamiento.

1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1

 

🔓 Registro de Actividades de Tratamiento para el encargado

Por otro lado, el encargado del tratamiento deberá incluir en su RAT qué datos trata de los responsables y cómo lo hace:

Artículo 30. Registro de las actividades de tratamiento.

2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

Así que, ¿cómo hacer un Registro de Actividades de Tratamiento? Pues si eres un responsable del tratamiento, con la siguiente plantilla:

 

🔓 Plantilla del Registro de Actividades de Tratamiento

Plantilla Registro de Actividades de Tratamiento
Plantilla de Registro de Actividades de Tratamiento para Responsables del Tratamiento

 

🔴 Cómo actualizar un Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento, como todos los demás procedimientos del RGPD, debe mantenerse debidamente actualizado. ¿Cuándo deberemos hacer cambios en nuestro RAT? Pues obviamente, cada vez que cambie la información que tratamos o cómo la tratamos.

Por ejemplo, habrá que revisar el Registro de Actividades de Tratamiento (entre otros procedimientos) si queremos abrir una nueva línea de negocio, si pasamos de no tener empleados a tenerlos… si, en general, realizamos algún tratamiento nuevo que no está debidamente reflejado.

También deberemos actualizarlo cuando cambien las medidas de seguridad que aplicamos para que los datos sean íntegros, confidenciales y permanezcan disponibles, si es que las hemos incluido. Por supuesto, si lo hemos reflejado, también deberemos corregirlo cuando dejemos de trabajar con un encargado y lo sustituyamos por otro, o si cambian los criterios de conservación de los datos.

No obstante, y a pesar de que resultaría lo ideal, pensar continuamente en actualizar el Registro de Actividades de Tratamiento puede ser tedioso al principio, pero no olvides que debemos pensar en la privacidad desde el minuto uno (desde el diseño), pero también por defecto, es decir, cada vez que hacemos algo y en todos los casos.

Así que para encontrar una dinámica práctica para ti o para tu organización en la que puedas cumplir con tus obligaciones y mantener debidamente actualizado tu RAT, quizá sea interesante que establezcas unos días al año cada cierto tiempo para darle un repaso integral a tu sistema de protección de datos.

A todos se nos puede pasar incorporar algunos cambios alguna vez. Si destinas tiempo a hacerlo y lo agendas debidamente, será más difícil que la documentación termine desactualizada.

 

🔴 Sanciones relacionadas con el Registro de Actividades de Tratamiento

Cuando se anunció la entrada en vigor del Reglamento (y especialmente cuando se terminó el periodo de adaptación al mismo el 25 de mayo de 2018), las sanciones fueron utilizadas como elemento de alarma.

Aún a día de hoy, lamentablemente, algunas personas intentan usar las sanciones para asustar a futuros clientes de consultoría en protección de datos. Esto, por cierto, es una práctica agresiva en materia de protección de datos según la Disposición adicional decimosexta de la LOPD. (Moraleja: no te dejes amedrentar. Si quieren asustarte, están cometiendo una infracción).

En cualquier caso, si perteneces a una organización o realizas una actividad que te obliga a tener un Registro de Actividades de Tratamiento, querrás saber qué riesgos corres si no lo haces.

 

🔓 Sanciones graves

En la LOPD, en su artículo 73, se definen las infracciones consideradas graves. Estas infracciones implicarían una multa administrativa de 10 millones de euros (€) como máximo (o un 2% de la facturación anual total global), aunque esto no significa que todas las organizaciones que carezcan de RAT vayan a ser multadas con estas cantidades.

Artículo 73. Infracciones consideradas graves.

En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquél, y en particular las siguientes: (…)

n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679.

 

🔓 Sanciones leves

Pero esta no es la única sanción asociada al Registro de Actividades de Tratamiento. Será infracción leve según el artículo 74 de la LOPD:

Artículo 74. Infracciones consideradas leves.
(…)
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.

 

Moraleja: si vas a hacer un RAT, hazlo bien. Y si estás obligado a hacerlo, hazlo mejor todavía.

 

🔴 BONUS: Aplicación para hacer un RAT

Después de toda esta información (y sobre todo al ver la cantidad de elementos que se deben incluir en un Registro de Actividades de Tratamiento), quizá te haya parecido que esto es muy complicado. Pues bien, te traigo un bonus (además de la plantilla) para que hacer un Registro de Actividades de Tratamiento te resulte fácil.

⚠️ La Autoridad Catalana de Protección de Datos tiene una aplicación para gestionar el Registro de Actividades de Tratamiento. Basta que te descargues la aplicación de la web oficial, la instales en tu ordenador y empieces a incluir nuevos tratamientos.

Y ya está, así de sencillo. Ahora no tienes excusa para no hacer un buen Registro de Actividades de Tratamiento.

🔹 Si quieres, las instrucciones de uso del programa están aquí.

🔹 También puedes consultar el Registro de Actividades de Tratamiento de la Agencia Española de Protección de Datos, para encontrar algo de inspiración.

 

Espero que la información que te he traído en este artículo te haya resultado interesante. Yo siempre he entendido el Registro de Actividades de Tratamiento como una herramienta sumamente útil para saber qué información personal se trata, de qué manera y en qué condiciones, y me gustaría que te resultara sencillo aunque no sea obligatorio para ti.

Cuéntame, ¿te ha resultado útil este post?

Deja un comentario

Información sobre protección de datos
Responsable: Noemí Carro Sánchez Finalidad: Gestión de comentarios de la web Legitimación: Consentimiento de quien comenta Destinatarios: Ninguno, salvo obligación legal y Wordpress Derechos: acceso, rectificación, supresión, portabilidad de los datos, oposición y limitación del tratamiento, retirar el consentimiento, presentar una reclamación ante la AEPD Contacto: contacto@noemicarro.es Más información: Política de privacidad