Registro de Actividades de Tratamiento (RAT): qué es y cómo elaborarlo
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
El artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un registro de actividades de tratamiento (RAT). Es el documento de referencia para demostrar el cumplimiento ante la AEPD (principio de accountability). La AEPD ofrece la herramienta gratuita 'Facilita RGPD' para que las pymes puedan elaborarlo sin conocimientos avanzados.
Puntos clave
- 1El RAT es obligatorio para la mayoría de organizaciones que traten datos personales
- 2La excepción para empresas < 250 empleados solo aplica en casos muy concretos (tratamientos no habituales, sin datos sensibles, sin riesgo)
- 3Debe mantenerse actualizado: cada nuevo tratamiento o cambio relevante debe documentarse
- 4Debe estar disponible para la AEPD si lo solicita
- 5El RAT del encargado del tratamiento tiene un contenido diferente al del responsable
- 6La AEPD ofrece la herramienta gratuita 'Facilita RGPD' para elaborarlo
Contenido mínimo obligatorio del RAT (art. 30 RGPD)
Para cada actividad de tratamiento, el RAT debe incluir los siguientes campos. Omitir alguno de ellos puede dar lugar a incumplimiento del principio de responsabilidad proactiva.
| Campo | Descripción |
|---|---|
| Nombre y datos del responsable | Razón social, NIF, dirección, contacto DPO si existe |
| Finalidades del tratamiento | Para qué se usan los datos (ej. 'gestión de nóminas') |
| Descripción de interesados | Qué tipo de personas cuyos datos se tratan (empleados, clientes…) |
| Categorías de datos | Tipos de datos tratados (nombre, email, datos bancarios, salud…) |
| Destinatarios | Terceros a quienes se comunican los datos (Hacienda, gestoría…) |
| Transferencias internacionales | Si los datos salen de la UE/EEE y con qué garantías |
| Plazos de supresión | Cuánto tiempo se conservan los datos para cada finalidad |
| Medidas de seguridad | Descripción general de medidas técnicas y organizativas |
Excepciones para empresas de menos de 250 empleados
El art. 30.5 RGPD exime a las organizaciones con menos de 250 empleados de la obligación de mantener el RAT, SALVO que el tratamiento sea no ocasional, incluya categorías especiales de datos (salud, origen racial, biométricos…), incluya datos relativos a condenas penales, o pueda entrañar riesgo para los derechos y libertades. En la práctica, la mayoría de las pymes deben tener RAT porque al menos uno de estos factores se cumple.
Próximos pasos recomendados
- 1Descarga la herramienta 'Facilita RGPD' de la AEPD para crear tu RAT guiado
- 2Lista todos los tratamientos de datos que realiza tu empresa (RR.HH., clientes, proveedores, web, CCTV…)
- 3Para cada tratamiento, completa los campos del art. 30 RGPD
- 4Establece una revisión periódica del RAT (mínimo anual o ante cada cambio relevante)
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Art. 30 RGPD — EUR-Lex — Texto oficial del artículo sobre el registro de actividades
- AEPD — Facilita RGPD — Herramienta gratuita de la AEPD para elaborar el RAT
- AEPD — Guía del RAT — Guía práctica de la AEPD sobre el Registro de Actividades
- EDPB — Directrices sobre el RAT — Directrices del Comité Europeo de Protección de Datos sobre el registro
También en RGPD