En una frase. El registro de actividades de tratamiento (RAT) del art. 30 RGPD es obligatorio para casi toda organización, debe constar por escrito y contener campos tasados; abajo tienes la plantilla campo a campo con ejemplos rellenados para nómina, clientes y videovigilancia, lista para adaptar.
El RAT es el primer documento que pide la AEPD en cualquier inspección. No tenerlo, o tenerlo desactualizado, es una infracción autónoma del art. 30 y, a la vez, una señal de que el resto del cumplimiento probablemente falla. La buena noticia: es un documento estructurado y esta plantilla cubre todos los campos exigidos.
Puntos clave
- El art. 30 RGPD exige un RAT por escrito con contenidos mínimos tasados; la ausencia es infracción autónoma.
- Hay dos registros distintos: el del responsable (art. 30.1) y el del encargado (art. 30.2), con campos diferentes.
- La excepción de las 250 personas (art. 30.5) casi nunca aplica en la práctica.
- Los organismos públicos deben publicar un inventario de sus actividades (art. 31.2 LOPDGDD).
- Un RAT genérico, sin bases de legitimación ni plazos concretos, es la observación más frecuente de la AEPD.
Qué debe contener el RAT (art. 30)
El registro del responsable (art. 30.1) debe incluir:
- Nombre y datos de contacto del responsable (y del corresponsable, representante y DPO si los hay).
- Los fines del tratamiento.
- Descripción de las categorías de interesados y de datos personales.
- Categorías de destinatarios (incluidas transferencias a terceros países).
- Transferencias internacionales y sus garantías.
- Los plazos de supresión previstos.
- Una descripción general de las medidas de seguridad (art. 32.1).
El registro del encargado (art. 30.2) es más breve: identificación de las partes, categorías de tratamientos por cuenta de cada responsable, transferencias internacionales y medidas de seguridad. La diferencia entre ambos roles la explico en la guía sobre responsable frente a encargado del tratamiento.
Este documento es la columna vertebral del cumplimiento: conecta con el concepto y las obligaciones del registro de actividades, con las bases de legitimación del art. 6 y con los plazos de conservación.
Plantilla campo a campo (registro del responsable)
Copia esta estructura —una fila por cada actividad de tratamiento— y adáptala:
| Campo | Qué poner |
|---|---|
| Nº / Nombre del tratamiento | Identificador y denominación (p. ej. “Gestión de nóminas”) |
| Responsable | Razón social, NIF, dirección, contacto |
| DPO | Nombre y contacto (si procede) |
| Finalidad | Para qué se tratan los datos |
| Base de legitimación | Art. 6(1) letra + norma habilitante |
| Categorías de interesados | Empleados, clientes, proveedores… |
| Categorías de datos | Identificativos, económicos, salud… (marcar art. 9) |
| Destinatarios | Cesiones y encargados |
| Transferencias internacionales | País y garantía (CCT, adecuación) |
| Plazo de conservación / supresión | Criterio o plazo legal |
| Medidas de seguridad | Referencia a la política / medidas del art. 32 |
Tres ejemplos rellenados
Ejemplo 1: Gestión de nóminas
- Finalidad: gestión laboral, salarial y obligaciones con la Seguridad Social.
- Base: art. 6(1)(b) (contrato) y 6(1)© (obligación legal: Estatuto de los Trabajadores, LGSS).
- Interesados: empleados y familiares a cargo.
- Datos: identificativos, económicos, afiliación a la Seguridad Social; datos de salud si hay bajas (art. 9).
- Destinatarios: Seguridad Social, AEAT, entidad bancaria, gestoría (encargado).
- Conservación: 4 años (prescripción laboral y fiscal); nóminas y cotizaciones según normativa.
- Seguridad: control de acceso, cifrado del portal del empleado.
Ejemplo 2: Gestión de clientes
- Finalidad: facturación, entrega y soporte.
- Base: art. 6(1)(b) (contrato). Marketing a clientes propios: interés legítimo con opt-out.
- Interesados: clientes y contactos.
- Datos: identificativos, de contacto, económicos.
- Destinatarios: pasarela de pago, transportista, CRM (encargados).
- Conservación: duración de la relación + plazos de prescripción (mercantil 6 años, CCom).
- Seguridad: medidas del art. 32.
Ejemplo 3: Videovigilancia
- Finalidad: seguridad de personas y bienes.
- Base: art. 6(1)(f) (interés legítimo).
- Interesados: empleados, clientes, visitantes.
- Datos: imágenes.
- Conservación: máximo 1 mes (art. 22.3 LOPDGDD), salvo incidentes.
- Seguridad: acceso restringido, cartel informativo.
Cómo empezar el RAT desde cero
Si partes de cero, el método más rápido es el enfoque por áreas. En lugar de intentar inventariar “todos los datos”, recorre los departamentos y pregunta qué hacen con datos personales. La mayoría de organizaciones descubre entre 10 y 25 tratamientos:
- RRHH: nóminas, control horario, selección de personal, prevención de riesgos.
- Comercial y clientes: gestión de clientes, facturación, atención al cliente, CRM.
- Marketing: envío de comunicaciones, redes sociales, formularios web.
- Administración: proveedores, contabilidad, gestión de accesos.
- Seguridad: videovigilancia, control de accesos físicos.
Cada área aporta varias filas del registro. El error habitual es fusionar tratamientos distintos en una sola entrada (“gestión de clientes” mezclado con “marketing”), lo que impide asignar bases y plazos correctos. Una finalidad diferenciada merece su propia fila. Una vez completado el inventario inicial, el mantenimiento es incremental: solo actualizas cuando aparece un tratamiento nuevo.
La excepción de las 250 personas: por qué casi nunca aplica
El art. 30.5 exime del RAT a organizaciones de menos de 250 empleados… salvo que el tratamiento:
- Pueda entrañar un riesgo para los derechos de los interesados,
- No sea ocasional, o
- Incluya categorías especiales (art. 9) o datos penales (art. 10).
Como los tres supuestos se conectan con “o”, basta que se dé uno. Y prácticamente toda empresa con empleados y clientes realiza tratamientos no ocasionales. Conclusión: la excepción es casi teórica. La propia AEPD recomienda a las pymes llevar el RAT en todo caso, como recojo en el checklist de cumplimiento RGPD en España.
Sector público y organismos: art. 31.2 LOPDGDD
Los responsables del sector público deben, además, hacer público un inventario de sus actividades de tratamiento, accesible por medios electrónicos (art. 31.2 LOPDGDD). Es una obligación de transparencia adicional al RAT interno.
Cómo mantener el RAT vivo
Un RAT no es un documento que se hace una vez. Debe actualizarse cada vez que se crea un tratamiento, se contrata un proveedor o cambia un plazo. Los errores más frecuentes que detecta la AEPD: bases de legitimación vagas (“cumplir la normativa”), plazos sin concretar y encargados no listados. Revísalo dentro de tu auditoría RGPD al menos una vez al año.
Mantener a mano decenas de tratamientos con sus bases, encargados y plazos coherentes es donde el Excel empieza a fallar. Plataformas como Legiscope generan y actualizan el RAT de forma dinámica y detectan campos incompletos; una comparación de opciones está en la guía de software de cumplimiento RGPD.
FAQ
¿Es obligatorio el registro de actividades para una pyme?
En la práctica, sí. Aunque el art. 30.5 exime a las organizaciones de menos de 250 empleados, la excepción decae si el tratamiento no es ocasional, entraña riesgo o incluye datos especiales. Como casi toda pyme trata datos de empleados y clientes de forma habitual, debe llevar el RAT.
¿Qué diferencia hay entre el registro del responsable y el del encargado?
El del responsable (art. 30.1) es más completo: incluye fines, bases, plazos de supresión y destinatarios. El del encargado (art. 30.2) es más breve: identifica las partes y las categorías de tratamientos realizados por cuenta de cada responsable. Una misma empresa puede tener ambos.
¿Puedo llevar el RAT en Excel?
Sí, la norma solo exige que conste por escrito (también en formato electrónico). Excel es válido para pocos tratamientos, pero se vuelve difícil de mantener y propenso a incoherencias cuando crece el número de actividades, encargados y plazos.
¿Cada cuánto hay que actualizar el registro?
Siempre que cambie algo relevante: nuevo tratamiento, nuevo proveedor/encargado, cambio de finalidad o de plazo. Como buena práctica, revísalo por completo al menos una vez al año dentro de tu auditoría de protección de datos.
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), art. 30, Ley Orgánica 3/2018 (LOPDGDD), art. 31 y Agencia Española de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial