Llevanza de un registro d...ento (RAT)
Ver Indice
»

Última revisión
30/09/2024

horizontal

Llevanza de un registro de actividades de tratamiento (RAT)

Tiempo de lectura: 4 min

Tiempo de lectura: 4 min

Relacionados:

Vademecum: horizontal

Fecha última revisión: 30/09/2024


Ha de partirse de la regulación ofrecida en los artículos 30 del RGPD y 31 de la LOPDGDD.

CUESTIONES

1. ¿Cuándo se presume que no es obligatorio llevar un registro de actividades de tratamiento?

El artículo 30, apartado 5, del RGPD indica que las obligaciones relativas a la llevanza del registro de actividades por el responsable no se aplicarán a empresas u organizaciones que empleen a menos de 250 personas, a menos que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales indicados en el artículo 9.1 del RGPD (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física) o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD

2. En aplicación de lo anterior, ¿el responsable del tratamiento de datos de una comunidad de propietarios debe seguir un registro de actividades de tratamiento?

La norma indica de manera clara que:

  • El tratamiento no puede entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento no debe ser ocasional. 
  • El tratamiento no puede revelar datos de categorías especiales.

En base a lo anterior, podemos concluir que la comunidad de propietarios ha de llevar un registro de actividades puesto que, de su actividad normal en el desempeño de las funciones y obligaciones que exige la LPH, se deriva un tratamiento de datos habitual, desmarcándose así de los requisitos excluyentes del artículo 30.5 del RGPD

La AEPD en su Guía sectorial sobre Protección de Datos y Administración de Fincas dispone en ese sentido de manera inequívoca que: «(...) al menos todas las comunidades de propietarios deberán tener el registro de actividades referente al tratamiento derivado de la "gestión de la comunidad de propietarios" o "propietarios", por cuanto que las actividades de tratamiento no son ocasionales. Otro registro que podría existir sería el relativo a la "videovigilancia" o "cámaras de seguridad"».

En una comunidad de propietarios, se llevan a cabo los siguientes tipos de tratamiento de datos:

  • Datos de los propietarios.
  • Datos de videovigilancia en zonas comunes.
  • Datos de los proveedores de servicios que puedan contratase por la comunidad de propietarios.
  • Datos de personal laboral al servicio de la comunidad (por ejemplo: limpieza, portero...).

Conforme a lo estipulado en los artículos 30 del RGPD y 31 de la LOPDGDD, cuando sea obligatorio llevar el registro de actividades, deben tenerse en cuenta las siguientes indicaciones:

  • El registro lo llevará el responsable del tratamiento y, en su caso, su representante. 
  • El registro puede organizarse en torno a conjuntos estructurados de datos y debe especificar sus finalidades, actividades de tratamiento que lleva a cabo y:

    • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
    • Los fines del tratamiento.
    • La descripción de las categorías de interesados y de las categorías de datos personales.
    • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
    • Las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del RGPD (que se efectúen desde un registro público y que no abarquen la totalidad de los datos personales ni categorías enteras contenidos en el registro), la documentación de garantías adecuadas.
    • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
    • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1, del RGPD: entre otras, la seudonimización y el cifrado de datos, la capacidad de garantizar la confidencialidad, integridad y disponibilidad, capacidad de restaurar la disponibilidad y el acceso a datos personales de forma rápida, proceso de verificación...
  • Debe estar a disposición de la autoridad de control que lo solicite.
  • Debe constar por escrito, inclusive en formato electrónico. 
  • Si hubiese DPD, el responsable o encargado debe comunicarle cualquier adición, modificación o exclusión en el contenido del registro.