¿Están las pymes y/o autónom@s obligad@s a mantener un Registro de Actividades de Tratamiento?

GDPR Protección de datos registro de actividades tratamiento habitual tratamiento ocasional 8 de enero de 2021

La respuesta será en la mayoría de los casos, SÍ, sobre todo en base a la segunda de las condiciones contempladas en el apartado 5 del artículo 30 del GDPR.

En dicho apartado el GDPR  exime a las entidades (pymes, autónom@s, etc.) que emplean a menos de 250 empleados de la obligación de elaborar el Registro de Actividades de Tratamiento (RAT), salvo que el tratamiento que se lleve a cabo por parte de la entidad:

  • pueda entrañar un riesgo para los derechos y libertades de los interesados
  • no sea ocasional
  • «O» incluya categorías especiales de datos personales o datos relativos a condenas (art. 9 y 10 GDPR)

La primera y la tercera de las condiciones que implicarían la exclusión de la obligación de elaborar el RAT se darán en algunas entidades de menos de 250 empleados, es decir habrá entidades que lleven a cabo tratamientos de datos personales que no sean de categoría especial o relativos a condenas y que no supongan un riesgo para los derechos y libertades de los interesados, pero será mucho menos frecuente que en estas entidades se dé la segunda de las condiciones para acogerse a la excepción contemplada en el apartado 5 del artículo 30, esto es  que el tratamiento no sea ocasional,  por tanto esta condición será de muy limitada aplicación, ya que lo  habitual es que la mayoría de las organizaciones, incluidas las entidades  de menos de 250 empleados (pymes, autónom@s, etc.) traten datos personales de manera recurrente o habitual (nóminas de los empleados que hay que realizar todos los meses, facturas a clientes que se hacen de forma habitual,….) lo que les impedirá acogerse a  la excepción.

Por ejemplo una organización (aunque tenga menos de 250 empleados) que solo trate  datos personales de sus empleados, deberá contar con un RAT aunque solo comprenda ese tratamiento de datos personales, puesto que es un tratamiento recurrente y, en consecuencia, habitual o no ocasional.

Todo esto entendiendo que una actividad de tratamiento solo puede considerarse «ocasional» si no se lleva a cabo con regularidad y se produce fuera del curso normal de negocios o actividad de la organización responsable o encargada del tratamiento.

El Grupo de Trabajo del Artículo 29 (GT29) publicó un informe con su posición respecto a esta excepción del artículo 30.5 GDPR.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido