La obligación de mantener un RAT (registro de actividades de tratamiento

A pesar del tiempo transcurrido desde la elaboración del informe del GT 29, son muchas las organizaciones que creen no estar obligadas a mantener un RAT de los datos personales que utilizan en su actividad. Hay que recordar que la obligación de mantener un RAT por parte de responsables y encargados de tratamiento es establece en el Artículo 30 del GDPR,

El considerando 13  del GDPR establece que teniendo en cuenta la situación específica de las micropymes y pymes, incluye una excepción para mantener un RAT para aquellas organizaciones con menos de 250 empleados. A su vez el art. 30.5 establece que la obligación de elaborar un RAT no es de aplicación a entidades de menos de 250 personas. Ahora bien, establece algunas condiciones para esta excepción.

Informe del GT 29 sobre las excepciones de la obligación de mantener registros de las actividades de tratamiento (RAT)

El grupo de trabajo 29 expuso su posición en su Informe sobre las excepciones de la obligación de mantener registros de las actividades de tratamiento (RAT). todo ello de conformidad con el artículo 30.5 GDPR.

En dicho informe se Establece que son necesarias algunas aclaraciones sobre la interpretación de esta disposición. Aclaración que es necesaria como lo demuestra el elevado número de solicitudes provenientes de entidades recibidas en los últimos meses por las distintas Autoridades de Control nacionales. Como es lógico incluida la española  AEPD (Agencia española de protección de datos)

Tres tipos de tratamientos a los que no se aplica la excepción de mantener un RAT

Continua exponiendo el grupo de trabajo 29, que la excepción prevista, no es absoluta. Hay tres tipos de tratamientos a los que no se aplica:

  1. El que pueda suponer en un riesgo para los derechos y libertades de los interesados.
  2. El que incluya categorías especiales de datos o datos personales relacionados con condenas y delitos penales.
  3. El que no sea ocasional.

Es importante establecer que los tres tipos de tratamiento a los que no se aplica la excepción son alternativos («o»). Así con la ocurrencia de uno de ellos, implica la obligación de mantener el RAT. Es decir, no es necesario que se cumplan las tres condiciones. Solo con cumplir una ya es necesario llevar el RAT.

Por lo tanto, aunque una organización cuente con menos de 250 empleados, que lleve a cabo un tratamiento de datos personales que probablemente implique un riesgo. Ojo, que no se habla de un riesgo alto. Solo con la existencia probable de un riesgo para los derechos de los interesados, aunque no sea alto, supone la obligación de llevar un RAT.

Igualmente, en empresas que traten categorías especiales de datos en virtud del artículo 9.1, O bien datos relacionados con condenas penales en virtud del artículo 10. Todas ellas están obligados a mantener el RAT.

Por último, cuando el tratamiento de datos no sea ocasional. Esta excepción para la mayoría de las empresas tiene una aplicación muy limitada. Una pyme es habitual que trate datos de manera recurrente. por ejemplo de sus empleados para gestionar nominas, etc. Igualmente, facturas a clientes, etc. Por tanto queda claro que dichos tratamientos no se pueden considerar «ocasionales». Por lo tanto, debe mantener un RAT e incluir dicha actividad.

Ahora bien y como es lógico, dichas organizaciones solo necesitan mantener RAT para estos tratamientos.

Abrir chat
¿Qué necesitas?
¡Hola! Estoy aquí para ayudarte. ¿Qué necesitas?