Ejemplos de Registro de Actividades de Tratamiento de Datos
Ejemplos de Registro de Actividades de Tratamiento de Datos
Como hemos visto en nuestro artículo Guía sobre registro de actividades de tratamiento, uno de los requisitos que nos impone el RGPD es la obligación de disponer de un registro de actividades de tratamiento, también denominado ROPA o RAT.
El no disponer de un registro de actividades de tratamiento en caso de que este sea obligatorio es considerado por el RGPD y por la LOPDGDD una infracción grave y puede acarrearle a nuestra organización una importante sanción.
A grandes rasgos, deberán de tener un RAT todas las organizaciones de más de 250 trabajadoras y todas aquellas que, aun no llegando al límite de 250 se encuentren en uno de los siguientes supuestos:
- El tratamiento puede entrañar un riesgo para los derechos y libertades de los interesados.
- El tratamiento no es ocasional.
- El tratamiento incluye categorías especiales de datos tales como el origen étnico o racial, sexualidad, religión, datos biométricos, entre otros.
- El tratamiento se refiere a datos relativos a condenas e infracciones penales.
A la hora de elaborar un RAT no existe un modelo predefinido. El artículo 30 del RGPD nos dice el contenido mínimo exigible que debe de tener, pero no existe un modelo normalizado como tal. Es decisión del responsable o del encargado el realizarlo de una manera u otra.
Ahora bien, lo que si vamos a tener son diferentes modelos elaborados por autoridades de control como la AEPD o la ICO que pueden ayudarte en la elaboración del registro de actividades de tratamiento, bien sea como guía o como modelo para adaptarlo a las necesidades de nuestra organización. Es importante saber si debemos de disponer de un RAT y en caso de necesitarlo, contar con el asesoramiento de personas expertas en la materia.
A continuación, vamos a ver una serie de ejemplos de RAT de diferentes organizaciones reales que pueden ayudarte a visualizarlo mejor de cara a plasmarlo en tu organización.
1.- Universidad de Castilla-La Mancha
En este caso, nos vamos a encontrar con un ROPA muy extenso. Tiene hasta 98 categorías distintas, cada una relativa a un tratamiento.
2.- Fábrica Nacional de Moneda y Timbre
Otro de los ejemplos que podemos visualizar es el de la Fábrica Nacional de Moneda y Timbre, al cuál puedes acceder a través de este link.
Al igual que en el ejemplo anterior, nos encontramos con una organización que tiene diferentes actividades de tratamiento, y todas ellas deben de estar incluidas en el ROPA.
Si por ejemplo nos fijamos en lo relativo a la gestión de la videovigilancia, podemos encontrar un ROPA, personalmente, más intuitivo. Es cierto que recoge los mismos puntos que en el ejemplo anterior, pero de alguna manera son más fácilmente localizables. Además, para el lector, también es importante la utilización de un lenguaje claro y sencillo, cuestión que considero que cumple a la perfección. Sin ser muy largo, es un poco menos conciso que el anterior, lo que ayuda que tenga una valoración superior con respecto al de la AEAT.
Una cuestión que podría llamarnos la atención es la ambigüedad del plazo de supresión, que pone un tiempo mínimo, pero no queda muy bien delimitado.
3.- Agencia Vasca de Protección de Datos.
En este tercer ejemplo vamos a ver el ROPA de la Agencia Vasca de Protección de Datos.
Tenemos que ver si, como cabe de esperar, la Agencia de Protección de Datos Vasca cumple con los criterios del RGPD. Dentro de las muchas actividades de tratamiento la que cogemos para su análisis es la de gestión económica y presupuestaria.
Del mismo modo que en los casos anteriores, se cumple con el contenido mínimo que prevé el RGPD y a mayores, se añade la base jurídica para el tratamiento. En cada categoría aparece todo detallado de manera cuidadosa.
4.- Universidad Rey Juan Carlos
Puedes consultar el ROPA de la URJC aquí.
A simple vista no se observan grandes diferencias con los ejemplos anteriores, pero se pueden resaltar dos cuestiones.
La primera de ellas es lo poco resaltado que aparece el tratamiento en cuestión. Si observamos el documento detenidamente, no vemos más que tablas, pero hay que fijarse detenidamente en qué actividad de tratamiento estamos porque no llama para nada la atención visualmente lo que dificulta el encontrar los tratamientos más fáciles. Otras de las cuestiones, en este caso positiva, y que merecen ser mencionadas es que aparece una mención al DPO.
5.- Registradores de España
Finalmente, y por ser en un formato un poco distinto, tenemos el de Registradores de España.
Es un formato aparentemente distinto que los anteriores, muy escueto también pero que contiene el contenido mínimo exigible por el RGPD.
Si después de ver todos estos ejemplos necesitas ayuda con la generación de registros de actividades de tratamiento Seifti te puede ayudar con consultoría a través de expertos en la materia o bien puedes usar el software que digitaliza todo el proceso.
No Comments