RGPDCheck

Guías RGPD

Registro de Actividades de Tratamiento (RAT): qué es y cómo hacerlo

El Registro de Actividades de Tratamiento (RAT) es el documento que describe todos los tratamientos de datos de tu organización: para qué los usas, con qué base legal, a quién se los cedes y cuánto los conservas. Lo exige el artículo 30 del RGPD y es lo primero que solicita la AEPD en una inspección.

Qué debe incluir cada actividad

  • Finalidad del tratamiento (p. ej. gestión de clientes, nóminas, marketing, videovigilancia).
  • Categorías de datos y de personas afectadas (clientes, empleados, proveedores…).
  • Base legal (consentimiento, contrato, obligación legal, interés legítimo).
  • Cesiones a terceros y transferencias internacionales, si las hay.
  • Plazo de conservación o criterio para fijarlo.
  • Descripción general de las medidas de seguridad.

Cómo empezar tu RAT sin morir en el intento

No hace falta un documento perfecto desde el día uno: empieza listando los tratamientos evidentes (clientes, personal, marketing, web, videovigilancia) y completa cada fila con las columnas de arriba. Revísalo cada vez que lances un nuevo servicio o cambies uno existente.

Nuestro informe de adecuación incluye una plantilla inicial de tu Registro de Actividades pre-rellenada a partir de tus respuestas, para que partas de algo concreto en vez de una hoja en blanco.

Preguntas frecuentes

¿Están obligadas las pymes a tener el registro de actividades?

En la práctica, sí. Aunque el art. 30.5 prevé una excepción para organizaciones de menos de 250 empleados, decae si el tratamiento no es ocasional, afecta a categorías especiales o entraña riesgo, lo que cubre a casi cualquier empresa. La AEPD recomienda llevarlo siempre.

¿El registro de actividades hay que enviarlo a la AEPD?

No se envía de forma rutinaria, pero debe estar disponible y entregarse si la AEPD lo solicita. Es un documento interno de responsabilidad proactiva.

¿Cumples el RGPD? Sal de dudas en 3 minutos

10 preguntas, veredicto inmediato y, si quieres, informe de adecuación con plan de acción.

Hacer el test gratuito →

Sigue leyendo:

Contenido orientativo basado en el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD. No constituye asesoramiento jurídico.