¿Están las pymes y/o autónomos obligados a mantener un registro de actividades del tratamiento?


Manuel Castilleja Toscano     31/01/2022

La respuesta será en la mayoría de los casos, SÍ, sobre todo en base a la segunda de las condiciones contempladas en el apartado 5 del artículo 30 del GDPR.

En dicho apartado se exime a las entidades (pymes, autónom@s, etc.) que emplean a menos de 250 personas trabajadoras de la obligación de elaborar el Registro de Actividades de Tratamiento (RAT), salvo que el tratamiento que se lleve a cabo por parte de la entidad:

  • pueda entrañar un riesgo para los derechos y libertades de los interesados;
  • no sea ocasional;
  • "O" incluya categorías especiales de datos personales o datos relativos a condenas (art. 9 y 10 GDPR).

La primera cuestión que se desprende de la redacción de dicho apartado del articulo 30 es que los tres tipos de tratamiento a los que no se aplica la excepción son alternativos ("o") y la ocurrencia de cualquiera de ellos por sí solo implica la obligación de mantener el RAT.

Una vez determinado el carácter alternativo de las condiciones para la excepción, podríamos decir que la primera y la tercera de las condiciones que implicarían la exclusión de la obligación de elaborar el RAT se darán en algunas entidades de menos de 250 personas trabajadoras, es decir habrá entidades que lleven a cabo tratamientos de datos personales que no sean de categoría especial o relativos a condenas y que no supongan un riesgo para los derechos y libertades de los interesados (no un “alto riesgo”), pero será mucho menos frecuente que en estas entidades se dé la segunda de las condiciones para acogerse a la excepción contemplada en el apartado 5 del artículo 30, esto es que el tratamiento no sea ocasional, por tanto esta condición será de muy limitada aplicación, ya que lo habitual es que la mayoría de las organizaciones, incluidas las entidades de menos de 250 personas trabajadoras (pymes, autónomos, etc.) traten datos personales de manera recurrente o habitual (nóminas de los empleados que hay que realizar todos los meses, facturas a clientes que se hacen de forma habitual,….) lo que les impedirá acogerse a la excepción.

Por ejemplo, una organización (aunque tenga menos de 250 personas trabajadoras) que solo trate datos personales de sus personas trabajadoras, deberá contar con un RAT aunque solo comprenda ese tratamiento de datos personales, puesto que es un tratamiento recurrente y, en consecuencia, habitual o no ocasional.

Todo esto entendiendo que una actividad de tratamiento solo puede considerarse "ocasional" si no se lleva a cabo con regularidad y se produce fuera del curso normal de negocios o actividad de la organización responsable o encargada del tratamiento.

El Grupo de Trabajo del Artículo 29 (GT29) publicó un informe con su posición respecto a esta excepción del artículo 30.5 GDPR, que anexamos a continuación traducido al castellano, y también puede descargar el original en inglés aquí.

INFORME DEL GT 29 SOBRE LAS EXCEPCIONES DE LA OBLIGACIÓN DE MANTENER REGISTROS DE LAS ACTIVIDADES DE TRATAMIENTO (RAT) DE CONFORMIDAD CON EL ARTÍCULO 30.5 GDPR.

El GT 29 ha examinado la obligación, en virtud del Artículo 30 deL GDPR, de que los responsables y encargados del tratamiento mantengan un RAT. Este documento expone la posición del GT 29 sobre la exención de esta obligación.

El Cdo. 13 GDPR establece que teniendo en cuenta la situación específica de las micro y pymes, el GDPR incluye una excepción para las organizaciones con menos de 250 empleados con respecto al mantenimiento de registros.

El art. 30.5 da efecto al Cdo. 13, y establece que la obligación de elaborar un RAT no se aplica a una entidad que emplee a menos de 250 personas, a menos que el tratamiento que lleva a cabo sea probable que suponga un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos (art. 9.1 GDPR), o datos personales relacionados con condenas penales y delitos (art. 10 GDPR).

Son necesarias algunas aclaraciones sobre la interpretación de esta disposición, como lo demuestra el elevado número de solicitudes provenientes de entidades recibidas en los últimos meses por las Autoridades de Control nacionales. La excepción prevista por el artículo 30. 5, no es absoluta, hay tres tipos de tratamientos a los que no se aplica:

  • El que pueda suponer en un riesgo para los derechos y libertades de los interesados.
  • El que no sea ocasional.
  • El que incluya categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

El GT 29 subraya que la redacción del artículo 30. 5, es clara al establecer que los tres tipos de tratamiento a los que no se aplica la excepción son alternativos ("o") y la ocurrencia de cualquiera de ellos por sí solo implica la obligación de mantener el RAT.

Por lo tanto, aunque cuenten con menos de 250 empleados, los responsables y encargados del tratamiento que lleven a cabo un tratamiento de datos personales que probablemente implique un riesgo (no solo un riesgo alto) para los derechos de los interesados, o no sea ocasional, o que traten categorías especiales de datos en virtud del artículo 9.1 o datos relacionados con condenas penales en virtud del artículo 10, están obligados a mantener el RAT.

Es decir, dichas organizaciones solo necesitan mantener RAT para los tipos de tratamiento mencionados en el artículo 30.5. Por ejemplo, es probable que una pyme trate habitualmente datos sobre sus empleados. Como resultado, dicho tratamiento no puede considerarse "ocasional"[i] y, por lo tanto, debe mantener un RAT e incluir dicha actividad.

Sin embargo, otras actividades de tratamiento que son de hecho "ocasionales" no necesitan incluirse en el RAT , siempre que sea poco probable que supongan un riesgo para los derechos y libertades de los interesados y no incluyan categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

El GT 29 destaca que el RAT es un medio muy útil para respaldar un análisis de las implicaciones de cualquier tratamiento de datos personales, ya sea existente o que se pretenda llevar a cabo. El RAT facilita la evaluación del riesgo de las actividades de tratamiento realizadas por un responsable o encargado del tratamiento sobre los derechos de las personas, y la identificación e implementación de medidas de seguridad adecuadas para salvaguardar los datos personales, ambos componentes clave del principio de responsabilidad proactiva contenido en el GDPR.

Para muchas micro, pequeñas y medianas empresas, mantener un RAT puede suponer una carga particularmente pesada. Sin embargo, el GT29 reconoce que el Artículo 30 representa un nuevo requisito administrativo para los responsables y encargados del tratamiento y, por lo tanto, alienta a las Autoridades de Control nacionales a apoyar a las PYMES proporcionando herramientas para facilitar la elaboración y gestión de RAT.

Por ejemplo, una autoridad de control podría poner a disposición de las organizaciones en su sitio web un modelo simplificado que las PYME puedan utilizar para mantener RAT con tratamientos no cubiertos por la excepción en el artículo 30.5.


[i] El GT 29 considera que una actividad de tratamiento solo puede considerarse "ocasional" si no se lleva a cabo con regularidad y se produce fuera del curso normal de la actividad del responsable o encargado del tratamiento. Consulte las Directrices WP29 sobre el artículo 49 del Reglamento 2016/679 (WP262).