¿Cómo elaborar el RAT?
Para organizar este registro de actividades de tratamiento se puede configurar sobre tratamientos concretos vinculados a su finalidad básica (por ejemplo, “videovigilancia”, "gestión de clientes" o "gestión de recursos humanos y nóminas") o con arreglo a otros criterios distintos.
Para ayudarse en la elaboración del registro de actividades de tratamiento puede utilizar la herramienta FACILITA_RGPD
En el siguiente vídeo puede encontrar consejos para elaborar el registro de actividades de tratamiento
No existe un modelo único de RAT. Su contenido deberá ajustarse al tratamiento concreto que se recoja, por lo que puede variar según el específico tratamiento, debiendo incorporar toda la información asociada al tratamiento. No obstante, se les facilita un modelo genérico que le sirva de guía:
| REGISTRO DE ACTIVIDADES | |
|---|---|
| a) Responsable del tratamiento | Identidad y datos de contacto del responsable (dirección postal, correo electrónico...). |
| b) Finalidad del tratamiento | Descripción de los fines para los que se van a tratar los datos personales (facturación, prestación de un servicio, marketing, gestión de nóminas, mantenimiento de una relación laboral...). |
| c) Base de legitimación | Descripción de la base jurídica identificada por el responsable en virtud de la cual le es lícito tratar los datos personales para la finalidad indicada. |
| d) Delegado de Protección de Datos | Si se hubiera designado uno: nombre y datos de contacto del Delegado de Protección de Datos. |
| e) Categorías de interesados | Categorías de personas físicas identificadas o identificables a quien corresponden los datos personales que son tratados (clientes, proveedores, empleados, usuarios…) |
| f) Categorías de datos | Detalle de los datos objeto del tratamiento en función de su clasificación: - Datos identificativos (nombre, DNI, dirección, …) - Datos financieros (cuenta bancaria, solvencia, …) - Datos profesionales (profesión, experiencia, …) - Datos de salud (enfermedades, alergias, …) - Otros tipos de datos: especificar qué datos. |
| g) Categorías de destinatarios | Categorías de destinatarios a quienes se comunicaron o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales (Bancos y entidades financieras, organismos públicos...) |
| h) Transferencias internacionales | Identificación de transferencias de datos a destinatarios establecidos en países fuera del Espacio Económico Europeo. Se debe identificar a dicho tercer país u organización internacional junto a la base jurídica que la hace posible en ausencia de una decisión de adecuación o de garantías adecuadas. |
| i) Plazo de supresión | Indicación de los plazos o criterios de conservación de la información en función de la finalidad del tratamiento y la normativa aplicable (de consumo, tributaria, laboral, sanitaria...). |
| j) Medidas de seguridad | Descripción general de las medidas técnicas y organizativas de seguridad. |
Asimismo, presentamos un ejemplo para un tratamiento concreto, en este caso un tratamiento de videovigilancia ligada a la finalidad de garantizar la seguridad.
| Registro de actividades: Videovigilancia | |
| Responsable | Nombre y datos de contacto del responsable (o representante) |
| Actividad de tratamiento | Videovigilancia |
| Legitimación del tratamiento | Artículo 6.1.e del RGPD: Cumplimiento de una misión de interés público |
| Fines del tratamiento | Garantizar la seguridad de personas, bienes e instalaciones |
Nombre y datos del contacto del Delegado de Protección de Datos (en el caso de que existiese) | Correo electrónico del contacto Dpd@xxxx.es/ Dirección física |
| Categorías de datos personales | Imagen |
| Categorías de afectados | Por ejemplo: ciudadanos, clientes, trabajadores, ... |
| Descripción de las medidas técnicas y organizativas de seguridad | Descripción de las mismas |
| Categorías de destinatarios de comunicaciones, incluidos terceros países u organizaciones internacionales | Fuerzas y Cuerpos de Seguridad, Juzgados y Tribunales. |
| Transferencias internacionales. Documentación de garantías adecuadas en caso del 49.1 | No existen (como regla general) |
| Cuando sea posible, plazos previstos para la supresión de las diferentes categorías de datos | Transcurrido un mes, salvo comunicación a Fuerzas y Cuerpos de Seguridad o/y Juzgados y Tribunales |
Si no encuentra respuesta, puede formularnos su consulta.