Preguntas frecuentes
¿Qué es un Registro de Actividades de Tratamiento (RAT)?
Es una nueva responsabilidad de las empresas, establecida en el artículo 30 del RGPD, que supone una visión clara y completa de todas las actividades de tratamiento que tienen lugar dentro de una organización, y su consiguiente documentación. Este proceso requerirá una colaboración proactiva por parte de las organizaciones.
Los responsables del tratamiento tendrán la responsabilidad de mantener actualizados los registros de todas las actividades de tratamiento que tienen lugar dentro de la organización.
¿Qué información debe contener el Registro de Actividades de Tratamiento (RAT)?
Los registros deberán contener la siguiente información:
- el nombre y los datos de contacto del responsable del tratamiento y, cuando proceda, del encargado del tratamiento;
- los fines del tratamiento;
- una descripción de las categorías de los interesados y de las categorías de los datos personales;
- las categorías de destinatarios a los que se han enviado o se enviarán los datos personales, incluidos los destinatarios de terceros países u organizaciones internacionales;
- las transferencias de datos personales a un tercer país o a una organización internacional, incluida la documentación de las garantías adecuadas;
- los plazos previstos para la supresión de las diferentes categorías de datos; y
- una descripción general de las medidas de seguridad técnicas y organizativas aplicadas.
¿Cuándo es obligatorio hacer un Registro de Actividades de Tratamiento?
Según el RGPD, no es obligatorio cuando la empresa tenga menos de 250 trabajadores.
Sin embargo, hay algunas excepciones. Si una empresa tiene menos de 250 trabajadores, siempre será obligatorio, independientemente del número de trabajadores, si el tratamiento de los datos:
- pueda entrañar un riesgo para los derechos y libertades de los interesados
- son relativos a condenas e infracciones penales
- de manera no ocasional, incluye categorías especiales de datos personales (indicadas en el artículo 9 del RGPD)
- origen étnico o racial
- opiniones políticas
- convicciones religiosas o filosóficas
- afiliación sindical
- tratamiento de datos genéticos
- datos biométricos dirigidos a identificar de manera unívoca a una persona física
- datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física
¿En qué formato debe estar el Registro de Actividades de Tratamiento (RAT)?
El RAT debe estar siempre en formato electrónico. Sin embargo, también es válido en formato escrito. Eso sí, siempre debe estar actualizado.
¿Qué beneficios tiene tener un Registro de Actividades de Tratamiento (RAT)?
Los registros proporcionarán una visión general de todas las actividades de tratamiento de datos dentro de la organización y, por lo tanto, permitirán a las organizaciones controlar qué tipo de categorías de datos están siendo procesados, por quién (qué departamentos o unidades de negocio) y para qué propósitos subyacentes. Este conocimiento permitirá a las organizaciones hacer conexiones internas, unir esfuerzos o proyectos con los mismos o equivalentes objetivos y/o retos y tener como resultado un mayor control sobre las actividades de procesamiento de datos. Esto proporcionará una visión de los riesgos y las acciones de mitigación necesarias, e inevitablemente supondrá el empoderamiento de las organizaciones para hacer más – y de una manera bien ordenada – con los datos personales disponibles.
¿Qué es un mapa de datos RGPD?
La forma de tener una visión global de los datos que trata tu empresa.
Cualquier programa de protección de datos exitoso empieza por comprender qué tipo de datos recopila, almacena, trata, comparte y elimina una empresa.
Tener un elemento visual como es el mapa de datos te permite tener una visión general de los datos que trata la empresa y si se transfieren de una localización a otra, ya sea de forma interna o externa.
Además, la visualización de datos ayudará a los empleados a seguir fácilmente los flujos de datos personales en la organización y a los directivos a tener el control total de todos los datos.
¿Por qué es importante un mapa de datos según el RGPD?
Un mapa de datos muestra de forma visual las actividades de tratamiento, es decir, los datos que trata una empresa, y a quién se comunican (los destinatarios).
Dichas actividades de tratamiento deben estar previamente definidas para cumplir con los requisitos que exige el art. 30 del RGPD. Dicho artículo indica que cada responsable de tratamiento llevará un registro de las actividades de tratamiento.
¿Qué información debería contener un mapa de datos?
Para hacer un mapa de datos tienes que seguir los siguientes pasos:
- Documentar las actividades de tratamiento: Identificar qué datos trata tu empresa. Saber si son datos sensibles o no.
- Añadir las actividades de tratamiento al mapa de flujos de datos: Empieza tu mapa de datos registrando todos los datos tratados en tu organización y dónde se almacenan.
- Identificar las transferencias de datos: Marca cómo se mueven los datos. Si cambian de una localización a otra, ya sea internamente o externamente.
- Revisa el proceso: Comprueba que todos los datos muestran el flujo que corresponde. También es importante mantenerlo actualizado con los cambios de actividades de tratamiento que se lleven a cabo dentro de la organización.