Registro de Actividades de Tratamiento
Registro de Actividades de Tratamiento
El Registro de Actividades de Tratamiento, también conocido con el acrónimo RAT, es una de las obligaciones que debe elaborar cualquier empresa o profesional (Responsable del tratamiento o Responsable) para dar cumplimiento al artículo 30 del Reglamento general de protección de datos personales (RGPD) y el artículo 31 de la Ley Orgánica de protección de datos personales (LOPD-GDD).
¿Qué es una Actividad de Tratamiento?
Empecemos por lo esencial; una actividad de tratamiento se refiere al tratamiento de datos personales que realiza un Responsable en el desempeño de su negocio, pudiéndose agrupar por conjuntos estructurados de datos:
— Clientes
— Empleados
— Solicitantes de Empleo
— Proveedores
— Etc.
Y también por tipo o criticidad para un mejor análisis de la actividad de tratamiento:
— Videovigilancia
— Biométricos
— Comercio Electrónico
— Etc.
¿En qué consiste el Registro de Actividades de Tratamiento?
Identificados los datos personales que un Responsable trata, se tendrá que realizar un análisis de estos, el cual incluirá lo siguiente:
— Finalidades del tratamiento
— Las categorías de interesados y de datos personales
— Las categorías de destinatarios a quienes se ceden los datos y detalle de países donde se cederán dichos datos personales, incluyendo sus garantías.
— Plazos previstos para la supresión de las diferentes categorías de datos
— Descripción de las medidas técnicas y medidas organizativas de seguridad aplicadas a los datos personales
— Nombre y datos de contacto de los encargados de tratamiento (proveedores que tratan datos del Responsable) y del delegado de protección de datos (DPD) si se ha nombrado uno
¿Cómo debe presentarse el RAT?
El Registro de Actividades de Tratamiento deberá constar por escrito y en formato electrónico.
El Registro de Actividades de Tratamiento deberá ponerse a disposición de la autoridad de control (AEPD o autoridades autonómicas) que lo solicite.
Aquellos Responsable enumerados en el artículo 77.1 de LOPD-GDD, deben hacer público su Registro de Actividades haciéndolas accesible por medios electrónicos.
La importancia del Delegado de protección de datos
Si el Responsable ha designado un Delegado de protección de datos (DPD), deberá informarle en todo momento sobre cualquier alteración en su contenido.
Recordamos que uno de los cometidos del DPD, es el de ofrecer el asesoramiento necesario, como podría ser la necesidad de que alguna de las actividades de tratamiento actualizadas o nuevas, precisara de elaborar una Evaluación de Impacto (EIPD).
Contrate un Delegado de protección de datos
Si contrata un Delegado de protección de datos, le elaborará su registro de actividades de tratamiento, realizará la evaluación de impacto, efectuará las auditorías correspondientes, así como formará a los trabajadores.
Por menos de lo que se imagina, Business Adapter® será su Delegado de protección de datos.