Muchas son las empresas que hoy día prosiguen promocionando el cumplimiento de la normativa sobre protección de datos basándose en la diligencia de haber anotado sus archivos de datos en la Agencia De España de Protección de Datos (AEPD) por medio de cláusulas o bien políticas de privacidad.
No obstante, estas entidades han de saber que desde la aplicación del Reglamento General de Protección de Datos (RGPD), el veinticinco de mayo de dos mil dieciocho, se alteró la notificación y también inscripción registral de los archivos que contuvieran datos personales frente a la AEPD por la confección propia por la parte del responsable, e inclusive asimismo del encargado del tratamiento, del Registro de las Actividades de Tratamiento (RAT).
Dichos registros internos, conforme con el artículo treinta del RGPD, deben contener, por lo menos, una determinada información en dependencia de si tratan los datos como Responsable o bien como Encargado del Tratamiento:
RAT llevado a cabo por un Responsable del Tratamiento: Debe contener el nombre y datos de contacto del responsable y, en su caso, de los corresponsables, representantes y Encargado de Protección de Datos; las finalidades del tratamiento; la descripción de categorías de interesados de que se trate; las categorías de receptores de los datos (si los hubiera); las trasferencias internacionales de datos personales (si las hubiera); los plazos previstos para la eliminación de las distintas categorías de datos; y una descripción general de las medidas técnicas y organizativas de seguridad.
RAT llevado a cabo por un Encargado del Tratamiento: Debe contener el nombre y datos de contacto del encargado o bien encargados y de cada responsable por cuenta del que actúe el encargado y, en su caso, del representante del responsable o bien del encargado, y del Encargado de Protección de Datos; las categorías de tratamientos realizados por cuenta del responsable; las trasferencias internacionales de datos personales (si las hubiera); como una descripción general de las medidas técnicas y organizativas de seguridad.
Si nos fijamos, estos registros son una muestra sintetizada que deja conocer de forma inmediata a la entidad qué hace con los datos que esta trata y, si bien hay factores comunes entre diferentes empresas, van a depender de la realidad de cada una. Ciertos ejemplos de Actividades de Tratamiento son los siguientes: “Gestión de clientes”; “Contabilidad”; “Gestión de Recursos Humanos”; “Gestión de proveedores”; “Atención de Derechos”; “Prevención de Peligros Laborales”, “Videovigilancia”, o bien “Comunicaciones Comerciales”, entre otros muchos.
En suma, es una medida más de la Responsabilidad Proactiva o bien Accountability (artículo cincuenta y dos RGPD) que rige el Reglamento General de Protección de Datos en donde la entidad no solo debe cumplir con la regla sino más bien probar que está cumpliendo con ella puesto que, al no contar con ya la Autoridad de Control de los archivos, las entidades que estén tratando datos, como Responsables o bien como Encargados, van a deber tener el RAT en todo instante a predisposición de tal ente público cuando este lo pida, lo que acarrea una supervisión y actualización continua por la parte del responsable y el responsable de sus registros conforme con su realidad y considerándose una infracción grave el no contar con del mismo.
