RAT
Las organizaciones deben documentar las actividades de tratamiento que realizan en un registro de actividades de tratamiento (RAT). Dicha obligación viene establecida en el artículo 30 del RGPD, tanto para responsables del tratamiento como para encargados. Su estructura o contenido es similar a la de los ficheros de la antigua LOPD.
La única excepción a la necesidad de contar con un registro de actividades de tratamiento es el caso de las organizaciones que tienen menos de 250 trabajadores siempre y cuando el tratamiento no suponga un riesgo para los derechos y las libertades de los interesados, sea ocasional o no incluya categorías especiales de datos.
¿Qué debe constar en el RAT?
El registro de actividades de tratamiento está estrechamente vinculado con el principio de responsabilidad proactiva, sirve para demostrar el cumplimiento con la normativa.
Los responsables deben hacer constar qué datos personales recoge y que categorías de interesados se ven afectados, cuál es la finalidad del tratamiento, la existencia o no de cesiones de datos o de comunicaciones internacionales, el plazo de conservación de los datos y las medidas técnicas y organizativas aplicadas.
Los encargados, por su parte, deben hacer constar los datos del responsable por cuenta del cual actúan, las categorías de tratamiento efectuadas, la existencia de transferencias internacionales y las medidas técnicas y organizativas aplicadas.
Registro de Actividades de Tratamiento a tu medida
Pridatect dispone de registros de actividades de tratamiento adaptados a cada organización; dichos registros pueden ser editados para garantizar el cumplimiento de la organización. Asimismo, pueden crearse y añadirse nuevos registros para cada organización.