Última revisión
horizontal
Llevanza de un registro de actividades de tratamiento (RAT)
Relacionados:
Vademecum: Horizontal
Fecha última revisión: 30/09/2024
Ha de partirse de la regulación ofrecida en los artículos 30 del
CUESTIONES
1. ¿Cuándo se presume que no es obligatorio llevar un registro de actividades de tratamiento?
El artículo 30, apartado 5, del
2. En aplicación de lo anterior, ¿el responsable del tratamiento de datos de una comunidad de propietarios debe seguir un registro de actividades de tratamiento?
La norma indica de manera clara que:
- El tratamiento no puede entrañar un riesgo para los derechos y libertades de los interesados.
- El tratamiento no debe ser ocasional.
- El tratamiento no puede revelar datos de categorías especiales.
En base a lo anterior, podemos concluir que la comunidad de propietarios ha de llevar un registro de actividades puesto que, de su actividad normal en el desempeño de las funciones y obligaciones que exige la
La AEPD en su Guía sectorial sobre Protección de Datos y Administración de Fincas dispone en ese sentido de manera inequívoca que: «(...) al menos todas las comunidades de propietarios deberán tener el registro de actividades referente al tratamiento derivado de la "gestión de la comunidad de propietarios" o "propietarios", por cuanto que las actividades de tratamiento no son ocasionales. Otro registro que podría existir sería el relativo a la "videovigilancia" o "cámaras de seguridad"».
En una comunidad de propietarios, se llevan a cabo los siguientes tipos de tratamiento de datos:
- Datos de los propietarios.
- Datos de videovigilancia en zonas comunes.
- Datos de los proveedores de servicios que puedan contratase por la comunidad de propietarios.
- Datos de personal laboral al servicio de la comunidad (por ejemplo: limpieza, portero...).
Conforme a lo estipulado en los artículos 30 del
- El registro lo llevará el responsable del tratamiento y, en su caso, su representante.
El registro puede organizarse en torno a conjuntos estructurados de datos y debe especificar sus finalidades, actividades de tratamiento que lleva a cabo y:
- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
- Los fines del tratamiento.
- La descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
- Las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del
RGPD (que se efectúen desde un registro público y que no abarquen la totalidad de los datos personales ni categorías enteras contenidos en el registro), la documentación de garantías adecuadas. - Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1, del
RGPD : entre otras, la seudonimización y el cifrado de datos, la capacidad de garantizar la confidencialidad, integridad y disponibilidad, capacidad de restaurar la disponibilidad y el acceso a datos personales de forma rápida, proceso de verificación...
- Debe estar a disposición de la autoridad de control que lo solicite.
- Debe constar por escrito, inclusive en formato electrónico.
- Si hubiese DPD, el responsable o encargado debe comunicarle cualquier adición, modificación o exclusión en el contenido del registro.