RGPD: Registro de actividades de tratamiento

El Registro de Actividades de Tratamiento (RAT) es una obligación del Artículo 30 del RGPD. Es el documento que demuestra que conoces y controlas todos los tratamientos de datos personales que realiza tu organización. En la práctica, es lo primero que solicita la AEPD en una inspección.

¿Quién está obligado?

El RGPD exige el RAT a:

• Empresas con más de 250 empleados (siempre)
• Empresas de cualquier tamaño si realizan tratamientos que:
  • No son ocasionales
  • Incluyen categorías especiales de datos (salud, biometría, ideología)
  • Incluyen datos relativos a condenas e infracciones penales
  • Pueden suponer un riesgo para los derechos de los interesados

En la práctica, casi todas las empresas españolas necesitan un RAT, porque tratar nóminas de empleados, datos de clientes o enviar newsletters no es un tratamiento "ocasional".

Contenido obligatorio del RAT

Para el responsable del tratamiento

| Campo | Descripción | Ejemplo | |-------|-------------|---------| | Nombre del responsable | Razón social y datos de contacto | Empresa S.L., CIF B12345678 | | DPD | Datos del Delegado de Protección de Datos (si procede) | [email protected] | | Finalidad | Por qué se tratan los datos | Gestión de clientes, facturación | | Categorías de interesados | Quiénes son las personas cuyos datos se tratan | Clientes, empleados, candidatos | | Categorías de datos | Qué datos se recogen | Nombre, email, teléfono, datos bancarios | | Destinatarios | A quién se comunican los datos | Asesoría fiscal, Hacienda, proveedor email | | Transferencias internacionales | Si los datos salen del EEE | Google (USA, cláusulas contractuales tipo) | | Plazos de supresión | Cuándo se eliminan los datos | Datos fiscales: 4 años, CV candidatos: 24 meses | | Medidas de seguridad | Descripción general de medidas técnicas y organizativas | Cifrado, control acceso, copias seguridad |

Para el encargado del tratamiento

Si tratas datos por cuenta de otro responsable, tu registro debe incluir:

• Nombre y datos de contacto del encargado y del responsable
• Categorías de tratamientos realizados por cuenta de cada responsable
• Transferencias internacionales (si procede)
• Medidas de seguridad técnicas y organizativas

Modelo práctico de RAT

Tratamiento 1: Gestión de clientes

nombre_tratamiento: "Gestión de clientes"
responsable: "Mi Empresa S.L."
base_legal: "Ejecución de contrato (Art. 6.1.b RGPD)"
finalidad: "Gestión comercial, facturación, atención al cliente"
categorias_interesados:
  - "Clientes actuales"
  - "Clientes potenciales"
categorias_datos:
  - "Identificativos: nombre, apellidos, NIF, dirección"
  - "Contacto: email, teléfono"
  - "Económicos: datos bancarios, historial facturación"
destinatarios:
  - "Asesoría fiscal: Gestoría López S.L."
  - "Proveedor email: Resend Inc. (USA, SCT)"
  - "Hacienda: AEAT (obligación legal)"
transferencias_internacionales:
  - "Resend Inc. (USA) — Cláusulas Contractuales Tipo"
  - "Google Workspace (USA) — Cláusulas Contractuales Tipo"
plazo_supresion: "Mientras dure la relación comercial + 4 años (obligación fiscal)"
medidas_seguridad:
  - "Cifrado TLS en tránsito"
  - "Control de acceso por roles"
  - "Copias de seguridad diarias cifradas"
  - "Formación empleados protección datos"

Tratamiento 2: Gestión de empleados

nombre_tratamiento: "Gestión de recursos humanos"
responsable: "Mi Empresa S.L."
base_legal: "Ejecución contrato laboral (Art. 6.1.b) + Obligación legal (Art. 6.1.c)"
finalidad: "Gestión nóminas, prevención riesgos laborales, formación"
categorias_interesados:
  - "Empleados"
  - "Exempleados"
categorias_datos:
  - "Identificativos: nombre, NIF, dirección, foto"
  - "Profesionales: puesto, antigüedad, formación"
  - "Económicos: nómina, cuenta bancaria"
  - "Salud: apto/no apto vigilancia salud"
destinatarios:
  - "Seguridad Social: TGSS"
  - "Hacienda: AEAT"
  - "Servicio Prevención Ajeno"
  - "Asesoría laboral"
plazo_supresion: "Durante relación laboral + 4 años (fiscal) + 5 años (laboral)"
medidas_seguridad:
  - "Acceso restringido a RRHH y Dirección"
  - "Cifrado de datos de salud"
  - "Armarios cerrados para expedientes físicos"

Tratamiento 3: Web y marketing

nombre_tratamiento: "Gestión de la web y marketing"
responsable: "Mi Empresa S.L."
base_legal: "Consentimiento (Art. 6.1.a RGPD)"
finalidad: "Envío newsletters, analítica web, gestión formularios contacto"
categorias_interesados:
  - "Suscriptores newsletter"
  - "Visitantes web"
  - "Usuarios formulario contacto"
categorias_datos:
  - "Contacto: email, nombre"
  - "Navegación: IP (anonimizada), páginas visitadas"
destinatarios:
  - "Proveedor email marketing: Mailchimp (USA, SCT)"
  - "Analítica: Google Analytics (USA, SCT)"
plazo_supresion: "Hasta revocación del consentimiento o 24 meses sin interacción"

Herramientas de la AEPD

La AEPD pone a disposición de las empresas españolas herramientas gratuitas:

• FACILITA RGPD: herramienta online para empresas que realizan tratamientos de bajo riesgo
• Guía para PYMES: documento de orientación con modelos y ejemplos
• Lista de verificación: checklist de cumplimiento RGPD básico

Mantenimiento del RAT

El RAT no es un documento estático. Debe actualizarse cuando:

• Se crea un nuevo tratamiento de datos
• Cambia la finalidad de un tratamiento existente
• Se incorpora un nuevo proveedor que accede a datos personales
• Se modifica el plazo de conservación
• Se implementan nuevas medidas de seguridad

Recomendación: revisar el RAT al menos una vez al año o tras cualquier cambio significativo.

Relación con la web

Tu sitio web es un tratamiento de datos que debe figurar en el RAT. Los elementos a registrar:

• Formularios de contacto
• Newsletter y suscripciones
• Cookies analíticas y de marketing
• Área de clientes con login
• Chat en vivo
• Pasarelas de pago

WarDek escanea tu sitio web e identifica los elementos que implican tratamiento de datos personales, ayudándote a mantener tu RAT actualizado.

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.