¿Por qué es importante que su empresa tenga un Registro de Actividades de Tratamiento?

Cuando hacemos un informe de due diligence, por ejemplo, en el marco de una operación de compraventa de empresas, sorprende el estado en que se encuentra la documentación en materia de protección de datos. Los escenarios que nos encontramos habitualmente son (i) que esta documentación es inexistente, (ii) que se encuentra confeccionada conforme a la ley orgánica anterior derogada o (iii) que se ha elaborado de acuerdo con la normativa actual, pero no se ha implantado. Rara vez encontramos una empresa que cumpla el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 26 de abril de 2026 ( “RGPD”) y la nueva Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y garantía de derechos digitales (“LOPD-GDD”),

Todavía las empresas tienen la impresión de que cumplir con la normativa de protección de datos es contar con una serie de modelos de cláusulas y documentos, si bien no son conscientes de que esos modelos tienen una finalidad y que para que sean útiles y efectivos tienen que ser incorporados en la documentación de la empresa (correos electrónicos, contratos con clientes, proveedores, empleados, etc.….)

De nada vale tener un detallado acuerdo de confidencialidad para los empleados si este no llega a ser firmado por los mismos.

Dentro de estos modelos hay uno que las empresas suelen tener pero que desconocen su existencia y para qué sirve, el Registro de Actividades de Tratamiento.

Cuando enviamos el listado con la documentación que una organización tiene que proporcionar para hacer el informe de due diligence, uno de los documentos obligados que solicitamos es el Registro de Actividades de Tratamiento, (“RAT”) y la respuesta de la empresa casi siempre es yo no tengo ese registro. Posteriormente, al comprobar los documentos recibidos, efectivamente confirmamos que o no lo tiene o no sabe que tiene tan solo un modelo de dicho Registro.

¿Qué es un Registro de Actividades de Tratamiento?

Con la anterior ley orgánica derogada en materia de protección de datos no existía este Registro. Lo que se hacía era dar de alta en la propia Agencia Española de Protección de Datos (“AEPD”) una serie de ficheros por categorías, siendo los más comunes, clientes y empleados.

Sin embargo, al amparo del RGPD cesa esta obligación de comunicar la existencia de estos ficheros y se sustituye por la necesidad de que la empresa lleve un registro de las diferentes clases de tratamiento que realiza.

Este documento no es público, a diferencia de lo que ocurría con la anterior normativa, al amparo de la cual era posible averiguarse si una empresa había dado de alta los ficheros o no mediante una búsqueda en la web de la AEPD. Con la normativa actual, salvo las Administraciones y otros Organismos Públicos que sí tienen obligación de publicar el RAT, este registro es privado, pero tiene que constar por escrito.

¿Por qué es importante el RAT?

El RAT es importante porque es el documento que refleja o que debería reflejar todos los tipos de tratamiento que realiza la empresa, que categoría de datos trata, plazo de conservación, finalidades, medidas de seguridad aplicadas…Es decir nos da la foto de qué datos trata la empresa, como lo hace, por cuanto tiempo y como los protege.

Es un documento que debe estar a disposición de la Autoridad de control, y será uno de los primeros que pida la AEPD si recibe la reclamación de un interesado.

Hay que tener en cuenta que cada empresa lleva a cabo muchos y diferentes tipos de tratamiento. De conformidad con la definición dada por el RGPD, tratamiento es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

El RAT es un documento que además tiene que estar actualizado y si cambia la actividad de la empresa, o se incorporan nuevas tecnologías a la misma, seguramente resultará necesario modificar el RAT para que se contemplen las nuevas circunstancias.

El RAT permite verificar el cumplimiento de la empresa y responde al principio de responsabilidad proactiva (accountabilitly) que es fundamento de la protección de datos desde la entrada en vigor del RGPD. Este principio exige que el responsable del tratamiento, es decir la empresa, aplique medidas técnicas y organizativas apropiadas con el fin no solo de garantizar sino de poder demostrar que el tratamiento de datos personales que se está llevando a cabo es conforme el RGPD. Por lo tanto, no se requiere únicamente cumplir la normativa sino ser capaz de demostrar que se está cumpliendo, lo que desde luego no se logra con modelos y cláusulas genéricas, porque cada empresa tiene su propia casuística y esta debe reflejarse también en la forma de tratar y proteger los datos.

¿Cuál es el contenido del RAT?

El contenido mínimo exigido por el artículo 30 RGPD es :

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

¿Quién tiene obligación de realizar un RAT?

Aunque de una lectura rápida del apartado 5 del art 30 RGPD pudiera dar la impresión de que sólo las empresas que tienen más de 250 personas empleadas está obligadas a llevar un RAT, si nos fijamos detenidamente en los supuestos excepcionados, vemos que prácticamente la totalidad de las empresas tienen obligación de hacerlo, pues basta con que el tratamiento de los datos no sea ocasional (como ocurre en el 99% de las organizaciones) para que resulte necesario llevar este registro. Así dice el apartado 5 referido:

“Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.”

¿Me pueden sancionar si no tengo un RAT?

La LOPD-GDD contempla expresamente tres tipos de infracciones relacionadas con el RAT, teniendo dos de ellas la consideración de graves y una de ellas la calificación de leve.

Así, conforme al artículo 73 LOPD-GDD, no disponer de un RAT es infracción grave, y también lo es no ponerlo a disposición de la autoridad de protección de datos que lo haya solicitado. En el caso de que se tenga un RAT pero este no contenga toda la información requerida por el art. 30 RGPD, la infracción será leve.

Las sanciones que se pueden imponer por infracciones de la normativa de protección de datos son muy elevadas, pudiendo llegar a tener que afrontar una empresa que no tenga un RAT una multa de hasta 300.000 €.

Patricia Carrera

Letrada Asociada Senior del Área Legal de Devesa y Calvo Abogados