Skip to main content
  • Áreas
  • Oficinas
  • Equipo
  • Talento
Sitio: Español

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAIS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Close
  • Facebook
  • LinkedIn
  • Twitter
  • Youtube
Menu

Main menu spanish

  • Sobre Garrigues
    • Sobre Garrigues
    • Gobierno corporativo
    • Visión estratégica
    • Ética profesional
    • Nuestra historia
    • Premios
    • G-advisory
  • Áreas y Sectores More

    Áreas e industrias

    Áreas de práctica

    • Contratación Mercantil y Derecho Societario
    • Derecho Administrativo
    • Derecho Bancario y Financiero
    • Derecho Contable
    • Derecho del Mercado de Valores
    • Derecho Europeo y de la Competencia
    • Derecho Inmobiliario
    • Derecho Laboral
    • Derecho Penal
    • Derecho Tributario
    • Derecho Urbanístico
    • Fusiones y Adquisiciones
    • Human Capital Services
    • Litigación y Arbitraje
    • Medio Ambiente
    • Propiedad Industrial e Intelectual
    • Reestructuraciones e Insolvencias
    • Startups & Open Innovation

    Sectores

    • Agribusiness
    • Automoción
    • Capital Riesgo
    • Empresa Familiar
    • Energía
    • Entidades Financieras
    • Farmacia, Sanidad y Biotecnología
    • Gobierno Corporativo y Responsabilidad Corporativa
    • Moda
    • Real Estate
    • Seguros
    • Smart Cities
    • Sports & Entertainment
    • Tecnología & Outsourcing
    • Telecomunicaciones & Media
    • Transporte y Marítimo
    • Turismo y Hoteles
  • Oficinas en el mundo More

    América

    • ChileSantiago de Chile
    • ColombiaBogotá
    • Estados UnidosNueva York
    • MéxicoCiudad de México
    • PerúLima

    África

    • MarruecosCasablanca

    Asia

    • ChinaBeijing
    • Shanghái

    Europa

    España

    • A Coruña
    • Alicante
    • Barcelona
    • Bilbao
    • Las Palmas de Gran Canaria
    • Madrid
    • Málaga
    • Murcia
    • Oviedo
    • Palma de Mallorca
    • Pamplona
    • San Sebastián
    • Sta. Cruz de Tenerife
    • Sevilla
    • Valencia
    • Valladolid
    • Vigo
    • Zaragoza
    • BélgicaBruselas
    • Reino UnidoLondres
    • PoloniaVarsovia
    • PortugalLisboa
    • Oporto

    Desks

    • Asia-Pacific Desk
    • Brazilian Desk
    • French Desk
    • German Desk
    • Indian Desk
    • Italian Desk
    • US Desk
  • Equipo More
    • A
    • B
    • C
    • D
    • E
    • F
    • G
    • H
    • I
    • J
    • K
    • L
    • M
    • N
    • O
    • P
    • Q
    • R
    • S
    • T
    • U
    • V
    • W
    • X
    • Y
    • Z

    Buscar abogado

  • Compromiso
    • Garrigues y la sociedad
    • Diversidad e igualdad
    • Medio ambiente
    • Educación e investigación
    • Garrigues Sostenible
    • Innovación
    • Informe integrado
    • Estado de información no financiera
  • Garrigues comunica
    • Noticias
    • Publicaciones
    • Garrigues opina
    • Garrigues Digital
    • Especiales
    • Guías
    • Blogs
    • Contactos de prensa
  • Calendario de eventos
  • Trabaja con nosotros More

    Recruitment

    • Súmate a Garrigues
    • Conócenos
    • Brochures y vídeos
    • Foros de Empleo y presentaciones
    • Preguntas frecuentes
    • Proceso de selección
    • Envía tu C.V.

You are here

Inicio

Hubs

  • CleanTech
  • e-Sports
  • FashionTech
  • FinTech
  • Industria 4.0
  • MediaTech
  • Plataformas

Services

  • Ciberseguridad
  • Competencia
  • Cuadernos Fintech
  • e-Commerce
  • Fiscalidad
  • Identidad digital
  • IT & Cloud Solutions
  • Laboral
  • Litigación y Arbitraje
  • Media
  • Propiedad intelectual
  • Protección de datos
  • Reputación online
  • undefined
  • Nuestros servicios
  • Equipo Digital
  • Contacto
23-05-2018

RGPD: la mayoría de las PYMES no se libran de hacer el registro de ciertos tratamientos

Enviado por GarriguesAdmin2 el Mié, 23/05/2018 - 15:11

Pilar Vargas (abogada del departamento Mercantil y de la industria de Tecnología & Outsourcing).

El Reglamento General de Protección de Datos (“RGDP”) excepciona a las pequeñas y medianas empresas (“pymes”)[1] de la obligación de elaborar Registros de Actividades de Tratamiento de datos personales (“RAT”), salvo que el tratamiento que se realice por la PYME pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o análogas. En la práctica, esta redacción lleva a que muchas pymes se planteen si están obligadas o no a confeccionar un RAT.

El Grupo de Trabajo del Artículo 29 (“GT29”) acaba de publicar su informe de posición en relación a la mencionada excepción (artículo 30.5 RGPD). El informe del GT29 interpreta el RGPD en el sentido de confirmar la obligación de elaborar un RAT para pymes que se encuentren en alguna de las tres circunstancias que desactivan la excepción. Si bien aclara que, este RAT, solo deberá referirse a las actividades de tratamiento afectadas por la casuística mencionada. Es decir, introduce como novedad la desagregación del RAT, pudiendo ser necesario realizarlo únicamente respecto de determinadas actividades.

Así, por ejemplo, una entidad que exclusivamente lleve a cabo el tratamiento de datos personales derivados de la gestión de nóminas, solo deberá contar con un RAT que comprenda el tratamiento referido a dicho proceso puesto que ese tratamiento es, por definición, recurrente y, en consecuencia, habitual o no ocasional.

Conviene recordar que el RAT constituye el corazón del Data Governance de cualquier organización. Es el elemento esencial para una gestión estructurada de la información tanto a nivel interno como de cara a los eventuales requerimientos de la autoridad de control. Además, resulta una herramienta muy útil para que las entidades adquieran una visión integral de las actividades de tratamiento que llevan a cabo e, incluso, para que esta nueva perspectiva redunde en una mayor congruencia de la estrategia de privacidad corporativa.

En líneas generales, el artículo 30 del RGPD establece un contenido mínimo para los RAT tanto de responsables como de encargados del tratamiento. Por ahora, ni el Proyecto de la nueva LOPD ni la Agencia Española de Protección de Datos (“AEPD”) han planteado una propuesta de estructura para el RAT[2], lo cual ha creado incertidumbre en entidades, especialmente aquellas pymes que se puedan encontrar en una zona gris sobre si pueden acogerse o no a la excepción prevista en el artículo 30.5 del RGPD[3].

La Autoridad Bávara de Protección de datos publicó en marzo de 2018  una guía para la elaboración del RAT. Esta guía es la única existente sobre el RAT hasta la fecha, a salvo de las menciones que se encuentran en el reciente informe de posición del GT29, si bien dicho informe se limita a mencionar el RAT al tratar la citada excepción del artículo 30.5 del RGPD.

Sobre el RAT, la guía bávara apuntaba una serie de cuestiones menores en apariencia pero de gran relevancia práctica. Como ejemplo, la obligación de conservar un historial de modificaciones del RAT por un periodo cierto desde que cada modificación tuvo lugar, en virtud del principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD. Este historial resulta necesario de cara a poder rastrear las modificaciones realizadas en el RAT a lo largo del plazo referido, que sería recomendable ampliar para que fuera coincidente con el periodo de prescripción de las acciones en materia de protección de datos relacionadas.

En relación al artículo 30.5, la Autoridad Bávara ya indicaba que se trata de una excepción de muy limitada aplicación pues es habitual que las pymes caigan en la casuística que impide activar la excepción, sobre todo porque, o bien tratan datos personales de manera recurrente, o bien tratan datos sensibles

Esta visión de aplicación limitada de la excepción a elaborar un RAT en las pymes ha sido confirmada en el informe de posición del GT29. A día de hoy, es difícil encontrar una pymes que no lleve a cabo un tratamiento habitual de datos de carácter personal, o de datos sensibles, de alguna categoría de interesados, ya sean empleados, clientes o representantes de otras entidades.

En definitiva, el cumplimiento de todas las de obligaciones del RGPD va a llevar, en la práctica, a la necesidad de elaborar un documento de inventarios de tratamientos de datos que, independientemente de cuál sea su nombre, será algo muy parecido al RAT.

Podría incluso pensarse que la excepción basada en un criterio numérico objetivo es un elemento que debía haber sido eliminado durante la evolución del proceso legislativo y las distintas versiones del RGPD (Comisión, Parlamento, Consejo, Trilogos), al igual que lo fueron otros umbrales objetivos como los que existían inicialmente para la designación de Delegado de Protección de Datos, decayendo dicho enfoque objetivo en favor de un enfoque de responsabilidad proactiva (accountability).

En todo caso, las iniciativas de distintas autoridades demuestran la necesidad de seguir teniendo en cuenta las particularidades locales a pesar de contar con el RGPD.


[1] Por PYMES hay que entender a los efectos del RGPD aquéllas entidades que emplean a menos de 250 empleados

[2] La Agencia Catalana de Protección de Datos ha publicado muy recientemente una App orientada a la elaboración de los RAT por parte de las PYMEs y que se encuentra disponible a través del siguiente link.  

[3] Si bien la AEPD no se ha pronunciado sobre esta cuestión, actualmente se encuentra liderando una interesante labor enfocada a la adaptación integral al RGPD por parte de las PYMES. En el marco de este proyecto se ha desarrollado la herramienta “Facilita” que pretende ayudar a las entidades que realizan tratamientos de bajo riesgo a cumplir con la nueva normativa.

 

Servicios:

Protección de datos, Ciberseguridad

Compartir

  • Share in Facebook, Open in new window
  • Share in Twitter, Open in new window
  • Share in LinkedIn, Open in new window

Compartir

  • Share in Facebook, Open in new window
  • Share in Twitter, Open in new window
  • Share in LinkedIn, Open in new window

Artículos relacionados

El Consejo Europeo aprovecha una corrección de errores del RGPD para modificar cuestiones de fondo
Protección de datos
Así son las 369 enmiendas al Proyecto de LOPD
Protección de datos
  • Follow us
  • Follow us
  • Follow us
  • Follow us
  • Sobre Garrigues
    • Gobierno corporativo
    • Visión estratégica
    • Ética profesional
    • Nuestra historia
    • Premios y rankings
  • Equipo
    • Buscar profesionales
  • Extranet y herramientas para clientes
  • Trabaja con nosotros
    • Envía tu C.V.

Contacto:

  • [email protected]
  • Tel: +34 91 514 52 00

Formulario de contacto

 

©2023 J&A Garrigues, S.L.P. Todos los derechos reservados

  • TÉRMINOS LEGALES Y CONDICIONES DE CONTRATACIÓN
  • POLÍTICA DE COOKIES
  • POLÍTICA DE PRIVACIDAD
  • POLÍTICA DE SEGURIDAD
  • RSS