El Registro de Actividades de Tratamiento es el documento en el que se detallan los tratamientos de datos personales realizados por un responsable. En algunos casos es obligatoria su publicación en la web.
El Registro de Actividades de Tratamiento (RAT) sustituye la obligación de inscribir ficheros con datos personales en la Agencia Española de Protección de Datos, siendo ahora prácticamente obligatorio para todas las entidades elaborar un RAT.
La Protección de Datos del RGPD gira en base al principio de responsabilidad proactiva o accountability. Es decir, que es el responsable del tratamiento el encargado de demostrar que aplica las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos es correcto.
¿Quiénes están obligados a hacerlo?
En el Reglamento General de Protección de Datos se establece la obligación de elaborar de un El Registro de Actividades de Tratamiento para aquellas entidades que superen los 250 trabajadores, a menos que:
- El tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados.
- Realicen tratamientos que no sean de forma ocasional.
- Si el tratamiento se realiza con categorías especiales de datos.
- Si el tratamiento incluye datos personales relativos a condenas e infracciones penales.
Como vemos, prácticamente ninguna entidad se escapa de realizar un Registro de Actividades de Tratamiento. Igualmente deben realizarlo tanto los responsables del tratamiento como los encargados del tratamiento.
¿Qué debe contener?
Puede realizarse tanto por escrito, como en formato electrónico. Y obligatoriamente debe contener la siguiente información:
a) El nombre y los datos de contacto del responsable y del delegado de protección de datos.
b) Los fines del tratamiento.
c) Una descripción de las categorías de interesados y de las categorías de datos personales.
d) Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
e) En su caso, las transferencias de datos personales a un tercer país o una organización internacional.
f) Los plazos previstos para la supresión de las diferentes categorías de datos, siempre y cuando sea posible.
g) Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Sujetos obligados a publicarlo en su sitio web
Finalmente, la LOPDGG obliga a una serie de entidades a llevar el Registro de Actividades de Tratamiento en formato electrónico y publicarlo en la página web de la entidad. Son las siguientes:
- Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
- Los órganos jurisdiccionales.
- La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
- Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
- Las autoridades administrativas independientes.
- El Banco de España.
- Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
- Las fundaciones del sector público.
- Las Universidades Públicas.
- Los consorcios.
- Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
Aquí te dejamos un modelo de Registro de Actividades del Tratamiento para que te lo puedas descargar.
Si tienes un blog, una página web o un negocio, desde LegalizaTuWeb redactamos tu Registro de Actividades del Tratamiento y adaptamos tu negocio para que cumplas con el RGPD al 100%.