Desde el momento que entró en vigor el Reglamento Europeo de Protección de Datos, existe la obligación de llevar un Registro de Actividades de Tratamiento (RAT). Para que puedas cumplir con la normativa lo más fácilmente posible, desde SoftwareLOPD te contamos en qué consiste este documento.
Pero, ¿qué es el Registro de Actividades de Tratamiento?
El RAT, en relación con el Reglamento de Protección de Datos, es una medida obligatoria para las empresas donde estas mismas tienen que documentar el tránsito de datos personales con el que trabajan. El RAT recoge un conjunto de medidas que el responsable del tratamiento de los datos debe llevar a cabo y tener a su vez documentadas, ya que la Agencia Española de Protección de Datos puede requerirla en cualquier momento. Elaborar este documento es el primer paso obligatorio para cumplir con la Protección de Datos en tu empresa.
El Registro de Actividades de Tratamiento reemplaza a la obligación de inscribir los ficheros en el Registro General de Protección de Datos que se lleva a cabo en la AEPD. El nuevo RAT deberá recoger la información que señala el artículo 30 del RGPD.
¿Qué información debe incluir el RAT?
El Registro de Actividades de Tratamiento debe contener la siguiente información para cumplir con las exigencias de la AEPD:
- Identificación del responsable o encargado, corresponsable, representante y Delegado de Protección de Datos (DPO).
- Fines del tratamiento de los datos.
- Descripción de las categorías de interesados y datos tratados.
- Categorías de destinatarios del tratamiento, ya sean existentes o previstos.
- Transferencias internacionales de datos y la documentación que garantiza la seguridad de la transferencia.
- Plazos previstos para la supresión de datos. Recuerda que el borrado de datos es una parte más del RGPD.
- Descripción lo más detallada posible de las medidas de seguridad adoptadas.
La mejor opción es ser minuciosos y precisos a la hora de describir el tratamiento de los datos que se lleva a cabo en la organización. Hacerlo así nos ayudará posteriormente a hacer un correcto análisis de riesgos y la evaluación de impacto sobre la Protección de Datos.
¿Todas las empresas deben hacerlo?
Realizar el RAT es un deber de todas las empresas, aunque solo es obligatorio en los siguientes casos:
- Si la empresa tiene más de 250 empleados.
- En caso de que la empresa (con menos de 250 empleados) o autónomo realiza tratamientos de datos que:
- Puedan acarrear riesgo para los derechos y libertades de los implicados.
- No sean ocasionales, es decir, que traten los datos de manera continua.
- Incluyan categorías especiales de datos personales:
- Origen étnico o racial
- Opiniones políticas
- Creencias religiosas
- Afiliación sindical
- Datos biométricos dirigidos a identificar de manera unívoca a una persona física (por ejemplo, métodos de control horario por huella)
- Datos relativos a la salud (fisioterapeutas, psicólogos…)
- Datos sobre la orientación sexual de una persona física
- Se realice un tratamiento de datos personales relativos a condenas e infracciones (por ejemplo, abogados).
Si tienes dudas sobre cómo aplicar el Registro de Actividades de Tratamiento en tu empresa, desde SoftwareLOPD podemos ayudarte a elaborarlo y a tener todos tus documentos preparados para cumplir con el RGPD.