En el Registro de Actividades de Tratamiento (en adelante RAT) no es necesario anotar a los prestadores de servicios como destinatarios. Paso a argumentar nuestra postura:
En el art 30.1.d) del RGPD, sobre el contenido del RAT, se nos dice que cada actividad de tratamiento debe contener:
«las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales»
Cuando habla de categorías de destinatarios, se refiere a que dichos destinatarios, se deben definir de forma general, por categorías, como por ejemplo: «Bancos y Cajas de ahorro», o «administraciones con competencia en la materia».
En ningún caso la ley nos obliga a definir los destinatarios individualmente. No tiene sentido poner todos los bancos del planeta, porque por ejemplo, podemos acabar transmitiendo los datos a cualquier banco del planeta donde el cliente o proveedor tenga cuenta.
Es un esfuerzo ímprobo tanto recopilarlos, como actualizarlos, y no repercute en un aumento de seguridad o una mejor evaluación de los riesgos, porque en el momento que nosotros hacemos la transferencia con nuestro banco, él comunica directamente la transferencia al banco de destino, mediante un proceso al que somos totalmente ajenos.
Además, en el art. 4 del RGPD, el legislador distingue en sus definiciones, entre Encargado del Tratamiento y Destinatario, porque aunque son cosas distintas, muchas personas confunden los conceptos y los utilizan de forma análoga:
“8)«encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9)«destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;”
La figura del encargado no necesariamente tiene que ser receptor de documentación, por ejemplo, un comercial autónomo, puede introducir datos de contratos en la empresa, pero no realizar más tareas ni recibir documentos.
Además, el destinatario recibe los datos para incorporarlos a sus tratamientos o ficheros (el banco al que le mandes el movimiento no tiene que borrar ese registro si se lo pides, porque ese registro ya es suyo, no tuyo, o la administración a la que se lo cedes tampoco), mientras que el prestador del servicio sí tiene la obligación de devolverlo cuando finalice la prestación, conservando aquellos documentos que puedan derivarle alguna responsabilidad jurídica.
Por tanto el Reglamento separa los destinatarios, que pueden aparecer en el RAT por categorías, de los Encargados del Tratamiento, que tienen otras obligaciones como la firma de un contrato que regule su acceso a los datos.
Otra cosa son los Encargados del tratamiento, que sí tienen la obligación de determinar en su registro de Actividades, a los encargados de cada responsable al que dan el servicio, como describe en el art. 30.2 del RGPD
“Cada encargado (…) llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;”
Sin embargo, en empresas grandes, con listados cambiantes, se puede solucionar enlazando a un documento interno, donde conste dicho listado.
En Prodat facilitamos a los clientes un gestor de documentación donde se pueden anotar todos los prestadores y responsables, verificar si han firmado el contrato o no, e incluso escanear y subir el contrato a efectos de auditoría.