¿Cómo hacer un registro de actividades de tratamiento? – RAT

¿Cómo hacer un registro de actividades de tratamiento? – RAT

¿Cómo hacer un registro de actividades de tratamiento?

 

Son muchas las obligaciones que, en materia de protección de datos, se les imponen a los responsables y encargados de tratamiento, y dentro de todas ellas podemos destacar la de llevar a cabo un registro de tratamiento. Por ello, en este artículo te vamos a explicar cómo hacer un registro de actividades de tratamiento.

 

Dicha obligación viene establecida en el artículo 30 del RGPD, y ese mismo artículo recoge el contenido del proceso RAT, tanto del responsable como del encargado, debe contener. Puedes encontrar una Guía sobre registro de actividades de tratamiento en nuestro blog.

 

A la hora de llevar a cabo el registro de actividades de tratamiento, no existe un modelo normalizado como tal. Es decisión del responsable o del encargado de realizarlo de una manera u otra. Lo que sí vamos a tener son diferentes herramientas o modelos que nos pueden ayudar como la elaborada por la AEPD o por la ICO. Estos modelos pueden servirnos de guía o incluso podemos adaptarlos a las necesidades de nuestra organización.

 

Plantilla Registro de actividades del Tratamiento - RAT

Descarga nuestra Plantilla Registro de actividades del Tratamiento – RAT Gratis

 

Contenido del Registro de Actividades del Tratamiento.

 

Tanto el RGPD como la LOPDGDD exigen un contenido mínimo que debe de ser tenido en cuenta por el responsable. Este debe de ser lo más detallado posible y debe de contar con:

 

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • los fines del tratamiento.
  • una descripción de las categorías de interesados y de las categorías de datos personales.
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional.
  • los plazos previstos para la supresión de las diferentes categorías de datos, cuando sea posible.
  • una descripción general de las medidas técnicas y organizativas de seguridad, cuando sea posible.

 

No podemos olvidarnos que dice el artículo 30 y la distinción entre si el registro lo realiza el encargado o el responsable.

 

¿Cuándo no tengo que llevar a cabo un RAT?

 

Tal y como dispone el RGPD, no es obligatorio disponer de un RAT cuando la organización tenga menos de 250 trabajadores. Ahora bien, con independencia de los empleados que tenga la organización, sea pública o privada, debe de mantener de manera obligatoria un registro de las actividades de tratamiento, si:

 

  • El tratamiento puede entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento no es ocasional.
  • El tratamiento incluye categorías especiales de datos tales como el origen étnico o racial, sexualidad, religión, datos biométricos, entre otros.
  • El tratamiento se refiere a datos relativos a condenas e infracciones penales.

 

En definitiva, deberán de tener un RAT todas las organizaciones de más de 250 trabajadoras y todas aquellas que, aun no llegando al límite de 250 se encuentren en uno de los supuestos anteriores.

 

Pautas para elaborar un registro de actividades de tratamiento.

 

Es momento de empezar a realizar nuestro registro de actividades de tratamiento y en este sentido, la propia AEPD nos va a dar una serie de pautas o recomendaciones que pueden ser de interés.

 

En primer lugar, es necesario tener una visión general clara y completa de todas las actividades de tratamiento que tienen lugar en la organización. Este proceso requiere una colaboración proactiva por parte de todos los intervinientes en el tratamiento de los datos, incluido el delegado de protección de datos.

 

Cada organización, de conformidad con el principio de responsabilidad proactiva (Accountability), debe decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Además, debe de ponderar la optimización de la gestión de la protección de datos dentro de la organización para esta resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue, es decir, que los individuos tengan un control efectivo de los datos que son objeto de tratamiento.

 

A la hora de elaborar el RAT, puede resultar útil construirlo en torno a conjuntos estructurados de datos o si corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

 

Tal y como dice la AEPD, el RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente se deben de incluir en el Registro de Actividades de Tratamiento:

  • Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica.
  • Notificación de una brecha de seguridad de los datos personales a la autoridad de control y a los interesados.

 

 

Mejores prácticas para crear los registros de actividades de tratamiento.

 

1.- Educación y concienciación

 

Una cuestión de relevancia y que, en ocasiones, no se le da la importancia que tiene es la de establecer mecanismos de concienciación y formación del personal. Como decíamos, para que el sistema funcione adecuadamente, necesitamos la colaboración proactiva de todos los sujetos intervinientes en el tratamiento de los datos personales.

 

Una deficiente inculcación de la cultura de protección de datos en la organización puede suponer que diversos sujetos no se sientan personalmente implicados, por ello, para asegurarnos de un correcto cumplimiento es necesario esa labor de concienciación y promoción de la cultura de protección de datos a todos los niveles.

 

2.- Identificaciones previas.

 

Como punto de partida, es importante identificar los tratamientos que se realizan, clasificar los interesados, clasificar el tipo de datos personales, los destinatarios de los datos, etc.  Se requiere que las organizaciones conozcan en detalle las diferentes categorías de datos que tratan, así como las finalidades del tratamiento.

 

3.- Reuniones de stakeholders de la empresa.

 

A menos que tengas una visión completa de la organización y de sus grupos de interés, no podrás tener una perspectiva completa de los tratamientos que se realizan y de los datos que se procesan. En este sentido, es necesario identificar a los stakeholders y mantener comunicación con los mismos para detectar y entender las necesidades. Así, podremos tener una mejor información sobre los datos, su ubicación, etc.

 

4.- Mandar los cuestionarios a todos.

 

El hecho de realizar esa tarea de identificación, permite obtener información sobre los riesgos asociados con las actividades de tratamiento de datos personales y realizar las evaluaciones oportunas que van a repercutir positivamente a la hora de realizar el ROPA. Así mismo, esta evaluación también va a permitir evaluar las medidas de seguridad y si estas están alineadas con el RGPD.

 

A la hora de aportar la descripción de cada tratamiento, esto se debe hacer de la manera más detallada posible ya que esto ayudará a realizar los análisis de riesgos y las evaluaciones de impacto, en caso de ser necesarios.

 

5.- Crear el data mapping GDPR.

 

Como hemos dicho, cualquier programa de protección de datos eficaz y eficiente empieza por conocer qué tipo de datos se procesan y recopilan. El hecho de disponer de un data mapping permite tener una visión general de los datos que se manejan por parte de la organización a empresa y si estos son transferidos o comunicados a otras ubicaciones. Esto nos va a ayudar a tener mucho más control de los datos que tratamos, ya que, para cumplir con el RGPD, estas actividades de tratamiento deben de estar predefinidas.

 

6.- Asegurarse de revisar el proceso y actualizarlo

 

Para cumplir con las disposiciones del RGPD, las organizaciones deben mantener sus RAT actualizados y, en caso de que los tratamientos cambien, deben de actualizar su registro de actividades de procesamiento.

 

Plantilla Registro de actividades del Tratamiento - RAT

Descarga nuestra Plantilla Registro de actividades del Tratamiento – RAT Gratis

 

¿Qué hago con el Registro una vez realizado?

 

El registro de actividades de tratamiento debe de estar en formato escrito, pudiendo ser en formato electrónico, y debe de guardarse en la empresa. Debe de estar siempre actualizado y a disposición de la autoridad de control por si esta lo solicitase.

 

Si necesitas ayuda con la generación de registros de actividades de tratamiento, desde Seifti te podemos ayudar con consultoría o también puedes usar el software que digitaliza todo el proceso.

No Comments

Post a Comment

Ir al contenido