Relevancia empresarial del Registro de Actividades de Tratamiento
Antes de comenzar a tratar la importancia para las empresas del Registro de Actividades de Tratamiento, una breve introducción:
Cuando realizamos un informe de due diligence, por ejemplo, en el marco de una operación de compraventa de empresas, sorprende el estado en que se encuentra la documentación en materia de protección de datos.
Los escenarios que nos encontramos habitualmente son (i) que esta documentación es inexistente, (ii) que se encuentra confeccionada conforme a la ley orgánica anterior derogada o (iii) que se ha elaborado de acuerdo con la normativa actual, pero no se ha implantado.
Rara vez encontramos una empresa que cumpla el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 26 de abril de 2026 (RGPD) y la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y garantía de derechos digitales (LOPD-GDD).
Todavía muchas empresas tienen la impresión de que cumplir con la normativa de protección de datos se reduce a disponer de una serie de modelos de cláusulas y documentos, sin ser conscientes de que esos modelos tienen una finalidad práctica. Para que sean útiles y efectivos, deben incorporarse en la documentación real de la empresa (correos electrónicos, contratos con clientes, proveedores, empleados, etc.).
De nada vale tener un detallado acuerdo de confidencialidad para empleados si este no llega a ser firmado. Dentro de estos modelos hay uno que las empresas suelen tener, pero desconocen su función y relevancia: el Registro de Actividades de Tratamiento (RAT).
Cuando enviamos el listado con la documentación que una organización tiene que proporcionar para hacer el informe de due diligence, uno de los documentos obligados que solicitamos es el Registro de Actividades de Tratamiento, y la respuesta de la empresa casi siempre es yo no tengo ese registro. Posteriormente, al comprobar los documentos recibidos, efectivamente confirmamos que o no lo tiene o no sabe que tiene tan solo un modelo de dicho Registro.
¿Qué es un Registro de Actividades de Tratamiento?
Con la anterior ley orgánica en materia de protección de datos no existía este registro. En su lugar, se daba de alta en la Agencia Española de Protección de Datos (AEPD) una serie de ficheros por categorías, siendo los más comunes los de clientes y empleados.
Sin embargo, con la entrada en vigor del RGPD, cesa esta obligación de comunicar dichos ficheros y se sustituye por la necesidad de llevar un registro interno con las diferentes clases de tratamiento que realiza la empresa.
Este documento no es público, a diferencia de la normativa anterior, bajo la cual era posible consultar en la web de la AEPD si una empresa había dado de alta sus ficheros.
Con la normativa actual, salvo las Administraciones y Organismos Públicos, que sí tienen obligación de publicar el RAT, este registro es privado, pero debe constar por escrito.
¿Por qué es importante el Registro de Actividades de Tratamiento?
El RAT es importante porque refleja todos los tipos de tratamiento de datos personales que realiza la empresa: las categorías de datos tratados, el plazo de conservación, las finalidades, y las medidas de seguridad aplicadas. En otras palabras, ofrece una “fotografía” completa de qué datos trata la empresa, cómo lo hace, por cuánto tiempoy cómo los protege.
Este documento debe estar a disposición de la Autoridad de Control y será uno de los primeros que solicitará la AEPD en caso de recibir una reclamación de un interesado.
Cada empresa lleva a cabo múltiples tratamientos de datos. Según el RGPD, tratamiento es cualquier operación realizada sobre datos personales, automatizada o no, como: recogida, registro, organización, conservación, consulta, comunicación, limitación, supresión o destrucción.
El RAT debe mantenerse actualizado, y si cambia la actividad de la empresa o se incorporan nuevas tecnologías, será necesario modificarlo para reflejar las nuevas circunstancias.
Además, el RAT materializa el principio de responsabilidad proactiva (accountability), fundamento de la protección de datos en el RGPD. Este principio exige que la empresa no solo cumpla la normativa, sino que pueda demostrar que la cumple.
Por ello, no basta con modelos genéricos: cada organización debe reflejar su propia realidad operativa y la forma en que trata y protege los datos personales.
Contenido mínimo del Registro de Actividades de Tratamiento
El artículo 30 del RGPD establece el contenido mínimo del RAT:
a) Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante y delegado de protección de datos (DPD).
b) Fines del tratamiento.
c) Descripción de las categorías de interesados y de las categorías de datos personales.
d) Destinatarios de los datos personales, incluidos los que se encuentren en terceros países u organizaciones internacionales.
e) En su caso, las transferencias internacionales de datos, con identificación del país y las garantías aplicables.
f) Cuando sea posible, los plazos previstos para la supresión de los datos.
g) Descripción general de las medidas técnicas y organizativas de seguridad aplicadas (art. 32 RGPD).
¿Quién tiene la obligación de llevar un Registro de Actividades de Tratamiento?
Aunque de una lectura rápida del apartado 5 del art. 30 RGPD pudiera dar la impresión de que sólo las empresas que tienen más de 250 empleados está obligadas a llevar un RAT, si nos fijamos detenidamente en los supuestos excepcionados, vemos que prácticamente la totalidad de las empresas tienen obligación de hacerlo, pues basta con que el tratamiento de los datos no sea ocasional (como ocurre en el 99% de las organizaciones) para que resulte necesario llevar este registro. Así dice el apartado 5 referido:
“Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.”
¿Qué sanciones puede tener no disponer del Registro de Actividades de Tratamiento?
La LOPD-GDD contempla expresamente tres tipos de infracciones relacionadas con el RAT, teniendo dos de ellas la consideración de graves y una de ellas la calificación de leve.
Así, conforme al artículo 73 LOPD-GDD, no disponer de un RAT es infracción grave, y también lo es no ponerlo a disposición de la autoridad de protección de datos que lo haya solicitado. Y también, tener un RAT incompleto o sin toda la información exigida por el artículo 30 del RGPD constituye una infracción leve.
Las sanciones que se pueden imponer por infracciones de la normativa de protección de datos son muy elevadas, pudiendo llegar a tener que afrontar una empresa que no tenga un RAT una multa de hasta 300.000 €.
¿Necesita asesoramiento? Acceda a nuestra área relacionada con el Registro de Actividades de Tratamiento: