El Reglament general de protecció de dades (RGPD), que és de plena aplicació des del 25 de maig d’aquest any, regula una nova obligació, el manteniment del registre de les activitats de tractament (RAT), que ha d’ajudar els responsables i encarregats del tractament a controlar de manera més efectiva la informació personal que gestionen.
Tot i que s’ha dit que ve a substituir la notificació de fitxers al registre de protecció de dades (obligació eliminada pel RGPD), no és ben bé així, ja que el RAT té un paper fonamental com a eina per demostrar la conformitat amb el Reglament i, per tant, amb el principi de la responsabilitat proactiva, que exigeix complir les obligacions del RGPD de la manera més adequada per garantir els drets de les persones i, a més, estar en disposició de provar-ho. El RAT és una mesura organitzativa que ajuda en la gestió de la informació personal i a controlar i reduir el risc dels tractaments, aspecte que permet complir el principi d'enfocament en el risc.
Aquest registre ha d’estar a disposició de l’autoritat de protecció de dades de tal manera que, quan l’autoritat ho sol·liciti, pugui servir per supervisar les operacions de tractament.
El RAT també està vinculat al principi de transparència dels tractaments. La Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals, que va entrar en vigor el passat dia 7 de desembre, ho reforça i estableix l’obligació de publicar, per mitjans electrònics, un inventari de les activitats de tractament realitzades per les entitats enumerades en l'article 77, com per exemple les administracions públiques, els organismes públics i entitats de dret públic que hi estan vinculades o en depenen, les fundacions del sector públic, les universitats públiques o els grups parlamentaris.
El RAT no pot ser entès com una mera obligació formal sinó que ha de ser un instrument per ajudar a complir el conjunt d’obligacions regulades en el RGPD. De fet, si ens fixem en la informació mínima que ha de contenir, regulada en l’article 30 del RGPD, veiem que es busca identificar les diferents fases i parts implicades en els processos de gestió de les dades personals; per exemple, identificar el responsable o l’encarregat del tractament, les persones de les quals es recullen les dades, els destinataris de la informació, les finalitats, els terminis de supressió establerts i una descripció general de les mesures de seguretat. La Llei 3/2018 exigeix identificar en el RAT quina és la base jurídica dels tractaments realitzats.
En qualsevol cas, aquesta és la informació mínima, però hi podem incorporar tota la que ens sigui d’utilitat per gestionar les dades i tenir identificats tots els punts clau en què cal tenir en compte la protecció de dades, com, per exemple, la procedència de les dades i el procediment de recollida.
La Llei 3/2018, en l'article 31, es refereix a la manera d’organitzar el RAT, i indica que es pot fer al voltant de conjunts estructurats de dades (definició de fitxer). Com a primera aproximació a l’elaboració del RAT, utilitzar la informació dels fitxers inscrits al registre de protecció de dades ens pot ser molt útil. Però, a partir d’aquí, cal fer una anàlisi, en profunditat, dels tractaments de dades realitzats, per identificar tots els processos involucrats en el tractament de les dades (identificar i analitzar el cicle de vida de les dades personals dins de l’organització).
Finalment, cal tenir present que no totes les entitats han de crear i mantenir un RAT. L’article 30.5 del RGPD indica que no s’aplica aquesta obligació a les entitats de menys de 250 treballadors, tret que el tractament comporti un risc per als drets i les llibertats de les persones interessades, no sigui ocasional o inclogui les categories especials de dades personals, o les dades personals relatives a condemnes i infraccions penals.
L’Autoritat Catalana de Protecció de Dades ha desenvolupat una aplicació per crear, mantenir i gestionar el RAT, que us podeu descarregar en aquest enllaç.