Protección de Datos

Plantilla de registro de actividades de tratamiento

Plantilla de registro de actividades de tratamiento (art. 30 RGPD) campo a campo, con ejemplos rellenados para nómina, clientes y videovigilancia.

También disponible en:English·Français·Deutsch·Italiano

En una frase. El registro de actividades de tratamiento (RAT) del art. 30 RGPD es obligatorio para casi toda organización, debe constar por escrito y contener campos tasados; abajo tienes la plantilla campo a campo con ejemplos rellenados para nómina, clientes y videovigilancia, lista para adaptar.

El RAT es el primer documento que pide la AEPD en cualquier inspección. No tenerlo, o tenerlo desactualizado, es una infracción autónoma del art. 30 y, a la vez, una señal de que el resto del cumplimiento probablemente falla. La buena noticia: es un documento estructurado y esta plantilla cubre todos los campos exigidos.

Puntos clave

  • El art. 30 RGPD exige un RAT por escrito con contenidos mínimos tasados; la ausencia es infracción autónoma.
  • Hay dos registros distintos: el del responsable (art. 30.1) y el del encargado (art. 30.2), con campos diferentes.
  • La excepción de las 250 personas (art. 30.5) casi nunca aplica en la práctica.
  • Los organismos públicos deben publicar un inventario de sus actividades (art. 31.2 LOPDGDD).
  • Un RAT genérico, sin bases de legitimación ni plazos concretos, es la observación más frecuente de la AEPD.

Qué debe contener el RAT (art. 30)

El registro del responsable (art. 30.1) debe incluir:

  • Nombre y datos de contacto del responsable (y del corresponsable, representante y DPO si los hay).
  • Los fines del tratamiento.
  • Descripción de las categorías de interesados y de datos personales.
  • Categorías de destinatarios (incluidas transferencias a terceros países).
  • Transferencias internacionales y sus garantías.
  • Los plazos de supresión previstos.
  • Una descripción general de las medidas de seguridad (art. 32.1).

El registro del encargado (art. 30.2) es más breve: identificación de las partes, categorías de tratamientos por cuenta de cada responsable, transferencias internacionales y medidas de seguridad. La diferencia entre ambos roles la explico en la guía sobre responsable frente a encargado del tratamiento.

Este documento es la columna vertebral del cumplimiento: conecta con el concepto y las obligaciones del registro de actividades, con las bases de legitimación del art. 6 y con los plazos de conservación.

Plantilla campo a campo (registro del responsable)

Copia esta estructura —una fila por cada actividad de tratamiento— y adáptala:

Campo Qué poner
Nº / Nombre del tratamiento Identificador y denominación (p. ej. “Gestión de nóminas”)
Responsable Razón social, NIF, dirección, contacto
DPO Nombre y contacto (si procede)
Finalidad Para qué se tratan los datos
Base de legitimación Art. 6(1) letra + norma habilitante
Categorías de interesados Empleados, clientes, proveedores…
Categorías de datos Identificativos, económicos, salud… (marcar art. 9)
Destinatarios Cesiones y encargados
Transferencias internacionales País y garantía (CCT, adecuación)
Plazo de conservación / supresión Criterio o plazo legal
Medidas de seguridad Referencia a la política / medidas del art. 32

Tres ejemplos rellenados

Ejemplo 1: Gestión de nóminas

  • Finalidad: gestión laboral, salarial y obligaciones con la Seguridad Social.
  • Base: art. 6(1)(b) (contrato) y 6(1)© (obligación legal: Estatuto de los Trabajadores, LGSS).
  • Interesados: empleados y familiares a cargo.
  • Datos: identificativos, económicos, afiliación a la Seguridad Social; datos de salud si hay bajas (art. 9).
  • Destinatarios: Seguridad Social, AEAT, entidad bancaria, gestoría (encargado).
  • Conservación: 4 años (prescripción laboral y fiscal); nóminas y cotizaciones según normativa.
  • Seguridad: control de acceso, cifrado del portal del empleado.

Ejemplo 2: Gestión de clientes

  • Finalidad: facturación, entrega y soporte.
  • Base: art. 6(1)(b) (contrato). Marketing a clientes propios: interés legítimo con opt-out.
  • Interesados: clientes y contactos.
  • Datos: identificativos, de contacto, económicos.
  • Destinatarios: pasarela de pago, transportista, CRM (encargados).
  • Conservación: duración de la relación + plazos de prescripción (mercantil 6 años, CCom).
  • Seguridad: medidas del art. 32.

Ejemplo 3: Videovigilancia

  • Finalidad: seguridad de personas y bienes.
  • Base: art. 6(1)(f) (interés legítimo).
  • Interesados: empleados, clientes, visitantes.
  • Datos: imágenes.
  • Conservación: máximo 1 mes (art. 22.3 LOPDGDD), salvo incidentes.
  • Seguridad: acceso restringido, cartel informativo.

Cómo empezar el RAT desde cero

Si partes de cero, el método más rápido es el enfoque por áreas. En lugar de intentar inventariar “todos los datos”, recorre los departamentos y pregunta qué hacen con datos personales. La mayoría de organizaciones descubre entre 10 y 25 tratamientos:

  • RRHH: nóminas, control horario, selección de personal, prevención de riesgos.
  • Comercial y clientes: gestión de clientes, facturación, atención al cliente, CRM.
  • Marketing: envío de comunicaciones, redes sociales, formularios web.
  • Administración: proveedores, contabilidad, gestión de accesos.
  • Seguridad: videovigilancia, control de accesos físicos.

Cada área aporta varias filas del registro. El error habitual es fusionar tratamientos distintos en una sola entrada (“gestión de clientes” mezclado con “marketing”), lo que impide asignar bases y plazos correctos. Una finalidad diferenciada merece su propia fila. Una vez completado el inventario inicial, el mantenimiento es incremental: solo actualizas cuando aparece un tratamiento nuevo.

La excepción de las 250 personas: por qué casi nunca aplica

El art. 30.5 exime del RAT a organizaciones de menos de 250 empleados… salvo que el tratamiento:

  1. Pueda entrañar un riesgo para los derechos de los interesados,
  2. No sea ocasional, o
  3. Incluya categorías especiales (art. 9) o datos penales (art. 10).

Como los tres supuestos se conectan con “o”, basta que se dé uno. Y prácticamente toda empresa con empleados y clientes realiza tratamientos no ocasionales. Conclusión: la excepción es casi teórica. La propia AEPD recomienda a las pymes llevar el RAT en todo caso, como recojo en el checklist de cumplimiento RGPD en España.

Sector público y organismos: art. 31.2 LOPDGDD

Los responsables del sector público deben, además, hacer público un inventario de sus actividades de tratamiento, accesible por medios electrónicos (art. 31.2 LOPDGDD). Es una obligación de transparencia adicional al RAT interno.

Cómo mantener el RAT vivo

Un RAT no es un documento que se hace una vez. Debe actualizarse cada vez que se crea un tratamiento, se contrata un proveedor o cambia un plazo. Los errores más frecuentes que detecta la AEPD: bases de legitimación vagas (“cumplir la normativa”), plazos sin concretar y encargados no listados. Revísalo dentro de tu auditoría RGPD al menos una vez al año.

Mantener a mano decenas de tratamientos con sus bases, encargados y plazos coherentes es donde el Excel empieza a fallar. Plataformas como Legiscope generan y actualizan el RAT de forma dinámica y detectan campos incompletos; una comparación de opciones está en la guía de software de cumplimiento RGPD.

FAQ

¿Es obligatorio el registro de actividades para una pyme?

En la práctica, sí. Aunque el art. 30.5 exime a las organizaciones de menos de 250 empleados, la excepción decae si el tratamiento no es ocasional, entraña riesgo o incluye datos especiales. Como casi toda pyme trata datos de empleados y clientes de forma habitual, debe llevar el RAT.

¿Qué diferencia hay entre el registro del responsable y el del encargado?

El del responsable (art. 30.1) es más completo: incluye fines, bases, plazos de supresión y destinatarios. El del encargado (art. 30.2) es más breve: identifica las partes y las categorías de tratamientos realizados por cuenta de cada responsable. Una misma empresa puede tener ambos.

¿Puedo llevar el RAT en Excel?

Sí, la norma solo exige que conste por escrito (también en formato electrónico). Excel es válido para pocos tratamientos, pero se vuelve difícil de mantener y propenso a incoherencias cuando crece el número de actividades, encargados y plazos.

¿Cada cuánto hay que actualizar el registro?

Siempre que cambie algo relevante: nuevo tratamiento, nuevo proveedor/encargado, cambio de finalidad o de plazo. Como buena práctica, revísalo por completo al menos una vez al año dentro de tu auditoría de protección de datos.


Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), art. 30, Ley Orgánica 3/2018 (LOPDGDD), art. 31 y Agencia Española de Protección de Datos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →