RGPD: la mayoría de las PYMES no se libran de hacer el registro de ciertos tratamientos

El Reglamento General de Protección de Datos (“RGDP”) excepciona a las pequeñas y medianas empresas (“pymes”)[1] de la obligación de elaborar Registros de Actividades de Tratamiento de datos personales (“RAT”), salvo que el tratamiento que se realice por la PYME pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o análogas. En la práctica, esta redacción lleva a que muchas pymes se planteen si están obligadas o no a confeccionar un RAT.

El Grupo de Trabajo del Artículo 29 (“GT29”) acaba de publicar su informe de posición en relación a la mencionada excepción (artículo 30.5 RGPD). El informe del GT29 interpreta el RGPD en el sentido de confirmar la obligación de elaborar un RAT para pymes que se encuentren en alguna de las tres circunstancias que desactivan la excepción. Si bien aclara que, este RAT, solo deberá referirse a las actividades de tratamiento afectadas por la casuística mencionada. Es decir, introduce como novedad la desagregación del RAT, pudiendo ser necesario realizarlo únicamente respecto de determinadas actividades.

Así, por ejemplo, una entidad que exclusivamente lleve a cabo el tratamiento de datos personales derivados de la gestión de nóminas, solo deberá contar con un RAT que comprenda el tratamiento referido a dicho proceso puesto que ese tratamiento es, por definición, recurrente y, en consecuencia, habitual o no ocasional.

Conviene recordar que el RAT constituye el corazón del Data Governance de cualquier organización. Es el elemento esencial para una gestión estructurada de la información tanto a nivel interno como de cara a los eventuales requerimientos de la autoridad de control. Además, resulta una herramienta muy útil para que las entidades adquieran una visión integral de las actividades de tratamiento que llevan a cabo e, incluso, para que esta nueva perspectiva redunde en una mayor congruencia de la estrategia de privacidad corporativa.

En líneas generales, el artículo 30 del RGPD establece un contenido mínimo para los RAT tanto de responsables como de encargados del tratamiento. Por ahora, ni el Proyecto de la nueva LOPD ni la Agencia Española de Protección de Datos (“AEPD”) han planteado una propuesta de estructura para el RAT[2], lo cual ha creado incertidumbre en entidades, especialmente aquellas pymes que se puedan encontrar en una zona gris sobre si pueden acogerse o no a la excepción prevista en el artículo 30.5 del RGPD[3].

La Autoridad Bávara de Protección de datos publicó en marzo de 2018  una guía para la elaboración del RAT. Esta guía es la única existente sobre el RAT hasta la fecha, a salvo de las menciones que se encuentran en el reciente informe de posición del GT29, si bien dicho informe se limita a mencionar el RAT al tratar la citada excepción del artículo 30.5 del RGPD.

Sobre el RAT, la guía bávara apuntaba una serie de cuestiones menores en apariencia pero de gran relevancia práctica. Como ejemplo, la obligación de conservar un historial de modificaciones del RAT por un periodo cierto desde que cada modificación tuvo lugar, en virtud del principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD. Este historial resulta necesario de cara a poder rastrear las modificaciones realizadas en el RAT a lo largo del plazo referido, que sería recomendable ampliar para que fuera coincidente con el periodo de prescripción de las acciones en materia de protección de datos relacionadas.

En relación al artículo 30.5, la Autoridad Bávara ya indicaba que se trata de una excepción de muy limitada aplicación pues es habitual que las pymes caigan en la casuística que impide activar la excepción, sobre todo porque, o bien tratan datos personales de manera recurrente, o bien tratan datos sensibles

Esta visión de aplicación limitada de la excepción a elaborar un RAT en las pymes ha sido confirmada en el informe de posición del GT29. A día de hoy, es difícil encontrar una pymes que no lleve a cabo un tratamiento habitual de datos de carácter personal, o de datos sensibles, de alguna categoría de interesados, ya sean empleados, clientes o representantes de otras entidades.

En definitiva, el cumplimiento de todas las de obligaciones del RGPD va a llevar, en la práctica, a la necesidad de elaborar un documento de inventarios de tratamientos de datos que, independientemente de cuál sea su nombre, será algo muy parecido al RAT.

Podría incluso pensarse que la excepción basada en un criterio numérico objetivo es un elemento que debía haber sido eliminado durante la evolución del proceso legislativo y las distintas versiones del RGPD (Comisión, Parlamento, Consejo, Trilogos), al igual que lo fueron otros umbrales objetivos como los que existían inicialmente para la designación de Delegado de Protección de Datos, decayendo dicho enfoque objetivo en favor de un enfoque de responsabilidad proactiva (accountability).

En todo caso, las iniciativas de distintas autoridades demuestran la necesidad de seguir teniendo en cuenta las particularidades locales a pesar de contar con el RGPD.