Registro de actividades de tratamiento de datos personales

El Registro de Actividades de Tratamiento (RAT) es un documento en el que se incluye información pormenorizada acerca de los datos personales que tiene una persona u organización (de los trabajadores, alumnos, clientes, pacientes...etc) y que son objeto de su tratamiento. Las informaciones que se pueden encontrar son: las personas físicas o jurídicas a las que van destinadas dichos datos, los plazos de supresión, y el fin que persigue su tratamiento.

Es importante tener en cuenta que con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), los responsables y/o encargados de datos tienen la obligación de mantener un registro de actividades de tratamiento, que sustituye la anterior obligación de comunicar a las autoridades de control la existencia de "ficheros" de tratamiento de datos personales.

Así, dependiendo del número de actividades que realice la persona u organización que trata datos personales, habrá uno o varios registros de actividades de tratamiento. Es decir, por cada actividad se tendrá que rellenar un registro, detallando toda la información que prevé el RGPD (fines del tratamiento, descripción de categorías, transferencias a terceros países, plazos de supresión, etc). Por ejemplo, una persona u organización que trata datos personales que tenga medidas de videovigilancia, además de actividades empresariales (tratamientos de datos de contacto y facturación de los clientes o proveedores), deberá rellenar dos registros de actividades de tratamiento especificando en detalle los datos personales que recogen para cada actividad.

El RGPD prevé una excepción a la obligatoriedad de mantener un registro de actividades de tratamiento: cuando una persona u organización que trata datos personales emplee a menos de 250 personas. No obstante, si el tratamiento de los datos puede entrañar un riesgo para los derechos y libertades de los interesados, o incluyan categorías especiales de datos personales (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical), o tengan datos personales relativos a condenas e infracciones penales, sí será obligatorio.

El Registro de Actividad de Tratamiento está íntimamente relacionado con el Libro registro de incidencias en el tratamiento de datos personales ya que este último se debe elaborar como anexo del primero. En otras palabras, el Registro de Actividad de Tratamiento de cualquier persona u organización que trate datos personales debe contener como anexo un Libro Registro de Incidencias en el cual se incluyan todas aquellas incidencias (error o fallo de funcionamiento del sistema de información que pueden ocasionar que terceras personas tengan acceso a la información personal que se encuentra alojada en el sistema) que afectan a datos de carácter personal.

¿Qué significa "tratar datos personales"?

Toda persona u organización que obtenga datos personales total o parcialmente automatizados, deberá tratar dichos datos personales. El tratamiento incluye una gama amplia de operaciones como por ejemplo: la obtención, registro, organización, conservación, modificación, consulta, utilización, limitación, supresión o destrucción de datos personales, entre otros.

En todo caso, el responsable del tratamiento deberá tratar los datos personales de manera lícita y transparente, debiéndose haber obtenido cada uno de ellos con el consentimiento expreso e inequívoco del interesado. Además, el responsable del tratamiento deberá asegurarse que se aplican medidas de seguridad adecuadas para que dichos datos no sean accesibles a terceras personas.

¿Cómo utilizar este documento?

La persona u organización que trata datos personales deberá rellenar un registro de actividades de tratamiento por cada actividad que realice. No obstante, le corresponde a cada persona u organización decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Por tanto, se deberá de valorar cómo de diferentes son las finalidades y las categorías de los afectados, y determinar si se trata de actividades que pueden englobarse en un único registro, o deben englobarse en varios.

Este registro de actividades de tratamiento contiene la información mínima exigida por la legislación vigente:

a) el nombre y los datos de contacto del responsable del tratamiento de datos, y del delegado de protección de datos (si hubiera);

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales tratados;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, y la base jurídica para la transferencia;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Respecto a las partes involucradas en la elaboración del Registro de actividades de tratamiento, se deben destacar los siguientes:

• El responsable del tratamiento es la persona física o jurídica o autoridad pública, que decide sobre el tratamiento de los datos personales, determinando los fines y los medios de dicho tratamiento.
• El Delegado de Protección de Datos es quien, entre otras funciones, tiene las funciones de supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, de gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales. Su existencia solo es obligatoria en algunos casos.
• El encargado del tratamiento trata los datos personales únicamente por cuenta del responsable del tratamiento. No tiene que existir siempre el encargado del tratamiento, sino que dependerá de si el responsable del tratamiento decide que los datos de su empresa u organización sean tratados por una persona física o jurídica ajena a su organización. En todo caso, las obligaciones del encargado del tratamiento con respecto al responsable deberán especificarse en un contrato de acceso a datos personales por cuenta de terceros. Si hay uno o varios encargados del tratamiento, el RGPD prevé que en el registro se incluya este hecho, debiéndose registrar, además de la información mencionada anteriormente, la identificación del encargado.

Una vez descargado este documento, es importante que la persona u organización que trata datos personales mantenga actualizados y con un control adecuado todos los registros de actividades de tratamiento que tenga. No obstante, no es necesario enviar éstos registros a la Agencia Española de Protección de Datos (AEPD), aunque ésta se los puede solicitar en cualquier momento, debiéndoselo entregar de manera inmediata.

Legislación aplicable

Reglamento General de Protección de Datos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Ayuda de un abogado

También tienes la opción de consultar a un abogado si necesitas ayuda.

El abogado puede contestar a tus preguntas o ayudarte en tus trámites. Al final de la creación del documento, se te ofrecerá esta opción.

¿Cómo modificar el modelo?

Rellenas un formulario. El documento se va redactando ante tus ojos, en función de tus respuestas.

Al finalizar, lo recibirás en los formatos Word y PDF. Puedes modificarlo y volver a utilizarlo.