Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/RGPD/14 de abril de 20265 min

Registro de Actividades de Tratamiento (RAT): qué es y cómo elaborarlo

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

El artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un registro de actividades de tratamiento (RAT). Es el documento de referencia para demostrar el cumplimiento ante la AEPD (principio de accountability). La AEPD ofrece la herramienta gratuita 'Facilita RGPD' para que las pymes puedan elaborarlo sin conocimientos avanzados.

Puntos clave

1El RAT es obligatorio para la mayoría de organizaciones que traten datos personales
2La excepción para empresas < 250 empleados solo aplica en casos muy concretos (tratamientos no habituales, sin datos sensibles, sin riesgo)
3Debe mantenerse actualizado: cada nuevo tratamiento o cambio relevante debe documentarse
4Debe estar disponible para la AEPD si lo solicita
5El RAT del encargado del tratamiento tiene un contenido diferente al del responsable
6La AEPD ofrece la herramienta gratuita 'Facilita RGPD' para elaborarlo

Contenido mínimo obligatorio del RAT (art. 30 RGPD)

Para cada actividad de tratamiento, el RAT debe incluir los siguientes campos. Omitir alguno de ellos puede dar lugar a incumplimiento del principio de responsabilidad proactiva.

Campo	Descripción
Nombre y datos del responsable	Razón social, NIF, dirección, contacto DPO si existe
Finalidades del tratamiento	Para qué se usan los datos (ej. 'gestión de nóminas')
Descripción de interesados	Qué tipo de personas cuyos datos se tratan (empleados, clientes…)
Categorías de datos	Tipos de datos tratados (nombre, email, datos bancarios, salud…)
Destinatarios	Terceros a quienes se comunican los datos (Hacienda, gestoría…)
Transferencias internacionales	Si los datos salen de la UE/EEE y con qué garantías
Plazos de supresión	Cuánto tiempo se conservan los datos para cada finalidad
Medidas de seguridad	Descripción general de medidas técnicas y organizativas

Excepciones para empresas de menos de 250 empleados

El art. 30.5 RGPD exime a las organizaciones con menos de 250 empleados de la obligación de mantener el RAT, SALVO que el tratamiento sea no ocasional, incluya categorías especiales de datos (salud, origen racial, biométricos…), incluya datos relativos a condenas penales, o pueda entrañar riesgo para los derechos y libertades. En la práctica, la mayoría de las pymes deben tener RAT porque al menos uno de estos factores se cumple.

Próximos pasos recomendados

1Descarga la herramienta 'Facilita RGPD' de la AEPD para crear tu RAT guiado
2Lista todos los tratamientos de datos que realiza tu empresa (RR.HH., clientes, proveedores, web, CCTV…)
3Para cada tratamiento, completa los campos del art. 30 RGPD
4Establece una revisión periódica del RAT (mínimo anual o ante cada cambio relevante)

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Art. 30 RGPD — EUR-Lex, Texto oficial del artículo sobre el registro de actividades
AEPD — Facilita RGPD, Herramienta gratuita de la AEPD para elaborar el RAT
AEPD — Guía del RAT, Guía práctica de la AEPD sobre el Registro de Actividades
EDPB — Directrices sobre el RAT, Directrices del Comité Europeo de Protección de Datos sobre el registro

También en RGPD

RGPD para pymes en España: los seis pasos mínimos para cumplir

6 min

Las seis bases jurídicas del RGPD: cuándo usar cada una

5 min

Derechos ARCO-POL en el RGPD: cómo gestionarlos correctamente en tu empresa

5 min

← Volver a La Gaceta