Una de las creencias más extendidas —y más peligrosas— entre pymes es que el Registro de Actividades de Tratamiento (RAT) solo es obligatorio para grandes empresas. La confusión tiene una base real: el artículo 30.5 del RGPD menciona una exención para organizaciones de menos de 250 empleados. El problema es que casi nadie lee la segunda mitad de la frase, la que anula la exención en la inmensa mayoría de los casos. Una asesoría de ocho personas que gestiona nóminas de clientes, o una clínica con cinco profesionales que trata datos de salud, llevan tratamientos que no son «ocasionales» o que implican categorías especiales de datos, así que la exención simplemente no les aplica. Este artículo desmonta ese mito, explica quién está realmente obligado a llevar el RAT —como responsable y como encargado del tratamiento— y detalla, campo a campo, cómo construir un registro que sirva ante una inspección de la AEPD, no solo como documento de archivo.
Qué es el RAT y por qué es la piedra angular de la responsabilidad proactiva
El Registro de Actividades de Tratamiento es el inventario documentado de todos los tratamientos de datos personales que realiza una organización: qué datos trata, con qué finalidad, a quién los cede, cuánto tiempo los conserva y qué medidas de seguridad aplica. No es un formulario burocrático más: es la materialización del principio de responsabilidad proactiva del artículo 5.2 del RGPD, que exige que el responsable pueda demostrar el cumplimiento de los principios del tratamiento, no solo declararlo. Sin un RAT actualizado, una organización no puede acreditar ante la AEPD qué datos trata ni con qué base legal, lo que convierte a este registro en el primer documento que solicita la Agencia al abrir cualquier procedimiento de investigación.
El RAT tampoco es un documento aislado: las evaluaciones de impacto (art. 35), el análisis de riesgos, la respuesta a ejercicios de derechos y la propia notificación de brechas de seguridad dependen de tener identificados con precisión los tratamientos, sus finalidades y sus destinatarios. Un RAT mal construido no solo incumple el artículo 30: arrastra errores a toda la cadena de cumplimiento.
El mito de la exención de menos de 250 empleados: qué dice realmente el artículo 30.5
El artículo 30.5 del RGPD establece que las obligaciones de los apartados 1 y 2 —llevar el registro como responsable o como encargado— no se aplicarán a las empresas u organizaciones con menos de 250 empleados, salvo que concurra alguna de estas tres circunstancias:
- Que el tratamiento realizado pueda entrañar un riesgo para los derechos y libertades de los interesados.
- Que el tratamiento no sea ocasional.
- Que el tratamiento incluya categorías especiales de datos conforme al artículo 9.1 del RGPD (salud, origen étnico, afiliación sindical, orientación sexual, datos biométricos, entre otros) o datos relativos a condenas e infracciones penales del artículo 10.
La clave está en la segunda condición, «que el tratamiento no sea ocasional», porque en la práctica casi ninguna pyme se libra de ella. Gestionar nóminas de empleados, mantener una base de datos de clientes, tramitar candidaturas de selección de personal o enviar comunicaciones comerciales periódicas son tratamientos estructurales, recurrentes, no ocasionales por definición. Basta con que uno solo de los tratamientos de la organización cumpla una de las tres condiciones para que nazca la obligación de llevar el RAT respecto de ese tratamiento —y, en la práctica, lo razonable y defendible es documentar el conjunto de tratamientos, no solo el que técnicamente activa la obligación—. La Agencia Española de Protección de Datos lo confirma en sus guías: la exención del artículo 30.5 tiene un alcance muy reducido y no debe interpretarse como una dispensa general para pymes. Dicho de otro modo: si tu empresa tiene empleados con nómina, clientes con datos de contacto o un formulario web que recoge datos personales de forma habitual, necesitas un RAT, tengas 3 empleados o 200.
Quién está obligado a llevar el RAT: responsable y encargado son registros distintos
El artículo 30 del RGPD no impone una única obligación, sino dos registros paralelos con contenido diferente, según el papel que juegue la organización respecto a cada tratamiento:
- Como responsable del tratamiento (art. 30.1): la organización que decide los fines y los medios del tratamiento —la empresa que recoge datos de sus propios clientes o empleados— debe llevar un registro de todas las actividades de tratamiento efectuadas bajo su responsabilidad.
- Como encargado del tratamiento (art. 30.2): la organización que trata datos por cuenta de un tercero —una gestoría que procesa nóminas de sus clientes, un proveedor de software que aloja datos de usuarios de otra empresa— debe llevar un registro de todas las categorías de actividades de tratamiento realizadas por cuenta de cada responsable.
Muchas organizaciones cumplen simultáneamente ambos papeles según el tratamiento: una asesoría es responsable respecto de los datos de sus propios empleados, pero encargada respecto de los datos de nómina que gestiona para sus clientes. Confundir ambas figuras —o llevar un único registro genérico sin distinguir el rol en cada tratamiento— es uno de los errores que con más frecuencia detectamos al auditar el cumplimiento de nuevos clientes. Si tienes dudas sobre en qué papel actúa tu organización, nuestra guía sobre encargado vs. responsable del tratamiento: diferencias clave desarrolla esta distinción con ejemplos prácticos.
Cómo estructurar el RAT como responsable del tratamiento: campo a campo
El artículo 30.1 del RGPD detalla el contenido mínimo que debe figurar en el registro cuando la organización actúa como responsable. Un RAT completo y defendible ante una inspección debe incluir, para cada actividad de tratamiento:
- Identificación del responsable: nombre y datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
- Finalidades del tratamiento: el propósito concreto por el que se tratan los datos —gestión de nóminas, facturación, envío de comunicaciones comerciales, videovigilancia, control de accesos— evitando descripciones genéricas como «gestión administrativa».
- Descripción de las categorías de interesados y de datos personales: quiénes son los titulares de los datos (empleados, clientes, candidatos, proveedores) y qué tipo de datos se tratan de cada categoría (identificativos, económicos, de salud, biométricos).
- Categorías de destinatarios a quienes se comunicaron o comunicarán los datos, incluidos los destinatarios en terceros países u organizaciones internacionales.
- Transferencias internacionales de datos, cuando proceda, incluyendo la identificación del país u organización internacional destinataria y la documentación de las garantías aplicadas (decisión de adecuación, cláusulas contractuales tipo u otro mecanismo del capítulo V del RGPD).
- Plazos previstos para la supresión de las distintas categorías de datos, cuando sea posible determinarlos.
- Descripción general de las medidas técnicas y organizativas de seguridad aplicadas conforme al artículo 32.1 del RGPD (cifrado, control de accesos, copias de seguridad, políticas de contraseñas, entre otras).
A esta lista mínima conviene añadir dos columnas que facilitan la gestión diaria: la base legitimadora del tratamiento (consentimiento, ejecución de contrato, obligación legal, interés legítimo, entre otras del artículo 6 del RGPD) y el origen de los datos, especialmente cuando no se recaban directamente del interesado. Ninguna de las dos es un requisito literal del artículo 30.1, pero ambas resultan casi imprescindibles para responder con agilidad a un ejercicio de derechos o a una evaluación de impacto.
Cómo estructurar el RAT como encargado del tratamiento: campo a campo
Cuando la organización trata datos por cuenta de un tercero, el artículo 30.2 del RGPD exige un registro con un contenido adaptado a esa posición:
- Identificación del encargado o encargados y de cada responsable por cuenta del cual actúa, así como, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
- Categorías de tratamientos efectuados por cuenta de cada responsable, sin necesidad de detallar cada finalidad concreta del responsable, pero sí el tipo de operación realizada (alojamiento de datos, procesamiento de nóminas, envío de comunicaciones, soporte técnico con acceso a datos).
- Transferencias internacionales de datos a un tercer país u organización internacional, cuando proceda, con la misma exigencia de documentar las garantías aplicadas que en el registro del responsable.
- Descripción general de las medidas técnicas y organizativas de seguridad del artículo 32.1 aplicadas a los tratamientos realizados por cuenta del responsable.
El registro del encargado no exige, a diferencia del responsable, detallar las categorías de interesados y de datos personales ni los plazos de supresión, porque esa información corresponde al responsable, que es quien decide los fines del tratamiento. Sí es buena práctica que el contrato de encargado del tratamiento (art. 28 RGPD) referencie de forma cruzada el RAT del encargado con el del responsable, de modo que ambos documentos sean coherentes entre sí ante una inspección conjunta.
Formato, soporte y disponibilidad ante la autoridad de control
El artículo 30.3 del RGPD exige que los registros —tanto del responsable como del encargado— consten por escrito, «incluida la forma electrónica», lo que en la práctica excluye el registro puramente verbal o mental, pero admite cualquier soporte documental: una hoja de cálculo, una plantilla en un gestor documental o un módulo dedicado dentro de una herramienta de cumplimiento. No existe un formato oficial obligatorio impuesto por la AEPD, aunque la propia Agencia publica una plantilla orientativa que resulta útil como punto de partida.
El artículo 30.4 añade una obligación de disponibilidad, no de publicación: el responsable o el encargado deben poner el registro a disposición de la autoridad de control que lo solicite. El RAT no tiene que publicarse en la web ni entregarse de oficio a la AEPD, pero debe estar siempre localizable y actualizado, listo para presentarse en el plazo que fije la Agencia si abre una inspección o atiende una reclamación. Un RAT que existe pero que nadie sabe dónde está incumple en la práctica esta obligación tanto como la ausencia total de registro.
En España, el artículo 31 de la LOPDGDD reitera esta obligación y añade un matiz que conviene conocer: las entidades del sector público enumeradas en el artículo 77.1 de la misma ley —administraciones y organismos públicos, entre otras— sí deben hacer público un inventario de sus actividades de tratamiento, accesible por medios electrónicos, con la información del artículo 30 del RGPD y su base legal (artículo 31.2 LOPDGDD).
El RAT como documento vivo: el papel del delegado de protección de datos
El error más costoso al elaborar el RAT no es no tenerlo, sino tratarlo como un entregable de una sola vez: se redacta al contratar el servicio de adecuación al RGPD, se archiva y no se vuelve a tocar. Un registro desactualizado —que no refleja un nuevo proveedor de nóminas, una herramienta de marketing recién contratada o un nuevo tratamiento de videovigilancia— es tan detectable en una inspección como la ausencia de registro, y ofrece además una imagen de descontrol organizativo que suele agravar cualquier valoración sancionadora.
Aquí entra el papel del delegado de protección de datos conforme al artículo 39 del RGPD: entre sus funciones de asesoramiento y supervisión está mantener actualizado el mapa de tratamientos, revisar el RAT cuando se incorpora un nuevo proveedor o cambia una finalidad, y asegurarse de que la documentación se corresponde con la realidad operativa de la empresa, no con una fotografía congelada del día de la auditoría inicial. Un DPO externo bien estructurado no entrega el RAT y desaparece: lo revisa de forma periódica y lo actualiza ante cada cambio relevante. Si tu empresa todavía no cuenta con esta figura o quiere externalizarla, puedes conocer cómo estructuramos el servicio en nuestra ficha de DPO externo para organizaciones.
Errores frecuentes al elaborar el Registro de Actividades de Tratamiento
Los fallos que con más frecuencia detectamos al revisar registros de nuevos clientes se repiten en un patrón reconocible:
- Dar por hecho la exención del artículo 30.5 sin analizar si algún tratamiento de la organización es no ocasional o incluye categorías especiales de datos, cuando en la práctica casi siempre lo es.
- Confundir el registro del responsable con el del encargado, mezclando ambos en un único documento sin distinguir el rol de la organización en cada tratamiento.
- Descripciones de finalidad demasiado genéricas, como «gestión de datos de clientes», que no permiten justificar la base legitimadora aplicada.
- Omitir las transferencias internacionales, especialmente cuando se usan herramientas de marketing o almacenamiento en la nube alojadas fuera del Espacio Económico Europeo.
- No vincular el RAT con las medidas de seguridad reales aplicadas, describiendo controles genéricos que no se corresponden con lo que efectivamente protege cada tratamiento.
- Dejar el registro sin revisar durante años, sin incorporar nuevos proveedores o tratamientos surgidos tras la elaboración inicial.
Qué arriesgas si no tienes RAT o está desactualizado
El incumplimiento del artículo 30 del RGPD se sanciona conforme al artículo 83.4.a) del RGPD, que prevé multas de hasta 10 millones de euros o el 2 % del volumen de negocio total anual mundial del ejercicio anterior, aplicándose la cifra mayor. Este tramo es el mismo que corresponde a otros incumplimientos «instrumentales» del reglamento —como la falta de un DPO obligatorio o de un análisis de impacto cuando es preceptivo—, mientras que el tramo superior del artículo 83.5, de hasta 20 millones de euros o el 4 %, queda reservado a infracciones de mayor gravedad relacionadas con los principios del tratamiento o los derechos de los interesados.
Para pymes, el principio de proporcionalidad del artículo 83.1 modera el importe final atendiendo a la naturaleza, gravedad y duración de la infracción. Pero la ausencia de RAT rara vez llega como sanción aislada: en la práctica de la AEPD suele detectarse dentro de una inspección motivada por otra causa —una reclamación de un interesado, una brecha de seguridad— y agrava el resultado de esa investigación, porque revela que la organización no tiene un control documentado de sus propios tratamientos. En el plano interno, la LOPDGDD tipifica expresamente no disponer del registro del artículo 30 como infracción grave (artículo 73.n), no ponerlo a disposición de la autoridad que lo solicita también como grave (artículo 73.ñ) y disponer de un registro que no incorpore toda la información exigida como infracción leve (artículo 74.l).
Cuánto cuesta mantener un Registro de Actividades de Tratamiento actualizado
El coste de elaborar y mantener un RAT varía según el número de tratamientos identificados, la complejidad del negocio, el número de proveedores y encargados involucrados y si el servicio se contrata como documento aislado o como parte de un proceso de adecuación al RGPD con revisión periódica incluida. No existe una tarifa fija de mercado ni tiene sentido fijar un precio genérico sin conocer la actividad concreta de la organización. Si quieres conocer los factores que determinan el coste de contar con un DPO externo que, entre otras funciones, mantenga el RAT actualizado, consulta nuestra guía precio del DPO externo: variables y rango orientativo.
Tabla resumen: el Registro de Actividades de Tratamiento
| Aspecto | Qué exige la norma | Base legal |
|---|---|---|
| Obligación general | Llevar registro de las actividades de tratamiento propias (responsable) o por cuenta de terceros (encargado) | Art. 30.1 y 30.2 RGPD |
| Exención de menos de 250 empleados | Solo si el tratamiento es ocasional, no entraña riesgo y no incluye categorías especiales de datos ni datos penales; en la práctica, alcance muy limitado | Art. 30.5 RGPD |
| Contenido del registro del responsable | Identificación, finalidades, categorías de interesados y datos, destinatarios, transferencias internacionales, plazos de supresión, medidas de seguridad | Art. 30.1 RGPD |
| Contenido del registro del encargado | Identificación del encargado y de cada responsable, categorías de tratamientos, transferencias internacionales, medidas de seguridad | Art. 30.2 RGPD |
| Formato y disponibilidad | Por escrito, incluida forma electrónica; a disposición de la AEPD si lo solicita | Art. 30.3 y 30.4 RGPD |
| Incumplimiento | Multa de hasta 10 M€ o el 2 % de la facturación mundial | Art. 83.4.a) RGPD |
Preguntas frecuentes
¿Es obligatorio el Registro de Actividades de Tratamiento si mi empresa tiene menos de 250 empleados?
En la mayoría de los casos, sí. La exención del artículo 30.5 del RGPD solo se aplica cuando el tratamiento es puntual y ocasional, no entraña riesgo para los derechos de los interesados y no incluye categorías especiales de datos ni datos relativos a condenas o infracciones penales. Gestionar nóminas, mantener una base de clientes o tramitar candidaturas son tratamientos estructurales que hacen inaplicable la exención, con independencia del número de empleados de la organización.
¿Puedo usar una plantilla genérica descargada de internet para elaborar el RAT?
Puede servir como punto de partida, pero rara vez resulta suficiente por sí sola. El artículo 30 exige que el registro refleje con precisión los tratamientos reales de tu organización —finalidades concretas, categorías exactas de datos e interesados, destinatarios efectivos—, y una plantilla genérica sin adaptar tiende a quedarse en descripciones demasiado vagas para resistir una inspección detallada de la AEPD.
¿El RAT tiene que estar disponible públicamente en la web de la empresa?
No. El artículo 30.4 del RGPD exige que el registro esté a disposición de la autoridad de control que lo solicite, no que se publique de forma pública. Es distinto de la obligación de información a los interesados en la política de privacidad, que sí debe ser pública, pero con un nivel de detalle diferente al del RAT. La excepción son las entidades del sector público del artículo 77.1 de la LOPDGDD, obligadas por el artículo 31.2 a publicar un inventario de sus tratamientos accesible por medios electrónicos.
¿Con qué frecuencia hay que actualizar el Registro de Actividades de Tratamiento?
No existe un plazo fijo en la norma, pero el RAT debe actualizarse cada vez que se produce un cambio relevante: un nuevo proveedor o encargado del tratamiento, un nuevo tratamiento de datos, una modificación de las finalidades existentes o un cambio en las transferencias internacionales. En la práctica, conviene establecer una revisión periódica —al menos anual— además de las actualizaciones puntuales ante cada cambio.
¿Qué diferencia hay entre el RAT y una evaluación de impacto (EIPD)?
El RAT es un inventario descriptivo de todos los tratamientos de datos de la organización, exigido con carácter general por el artículo 30 del RGPD. La evaluación de impacto relativa a la protección de datos (EIPD), regulada en el artículo 35, es un análisis de riesgo específico y detallado que solo es obligatorio para tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas. El RAT suele ser el punto de partida para identificar qué tratamientos requieren, además, una EIPD.
¿Qué pasa si tengo RAT pero está incompleto o desactualizado?
La LOPDGDD distingue ambos escenarios: disponer de un registro que no incorpore toda la información exigida por el artículo 30 es infracción leve (artículo 74.l), mientras que no disponer de registro es infracción grave (artículo 73.n); ambas se mueven dentro del marco sancionador del artículo 83.4.a) del RGPD. En cualquiera de los dos casos, un registro incompleto o desactualizado no permite acreditar el cumplimiento del principio de responsabilidad proactiva del artículo 5.2 del RGPD. En una inspección, la AEPD suele valorar especialmente si el registro refleja la actividad real de la empresa en el momento de la revisión, no la que tenía cuando se redactó por primera vez.
Si tu empresa necesita elaborar, revisar o mantener actualizado su Registro de Actividades de Tratamiento —como responsable, como encargado, o en ambos papeles a la vez—, en Summum Consultoría integramos esta tarea dentro de nuestro servicio de adecuación al RGPD para empresas, con revisión periódica a cargo del delegado de protección de datos. Si tu organización todavía no ha iniciado el proceso de adaptación, nuestra guía RGPD paso a paso: guía práctica para adaptar tu empresa explica por dónde empezar.