Registro de Actividades de Tratamiento — España
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
Records of Processing Activities — RGPD Article 30
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
I. CONTROLLER IDENTIFICATION (ART. 30.1 RGPD)
Data Controller: [Controller Name]
NIF/CIF: [Controller NIF]
Registered address: [Controller Address]
Legal representative: [Controller Representative]
Data Protection Officer (DPO): [DPO Name]
Joint controller (if applicable): [Joint Controller Name]
II. PROCESSING ACTIVITY
Activity name: [Activity Name]
Purpose of processing: [Processing Purpose]
Legal basis: [Legal Basis]
Legitimate interest detail: [Legitimate Interest Detail]
III. DATA SUBJECTS AND DATA CATEGORIES
Categories of data subjects: [Data Subjects Category]
Categories of personal data: [Personal Data Categories]
Special category data (art. 9 RGPD): [Special Category Data]
Special category detail: [Special Category Detail]
IV. RECIPIENTS AND INTERNATIONAL TRANSFERS
Recipients: [Data Recipients]
International transfers outside EEA: [International Transfers]
Transfer safeguards: [Transfer Safeguards]
V. RETENTION PERIODS AND SECURITY MEASURES
Retention period: [Retention Period]
Security measures: [Security Measures]
VI. DATA PROCESSORS (ENCARGADOS DEL TRATAMIENTO)
[Data Processors]
Version / last update: [Register Version]
Responsible for register: [Responsible Person]
In [Register City], on [Register Date].
[Controller Name]
[Controller Representative]
Signature: _________________________
Data Controller / Legal Representative
________________
Signature
Qué es Registro de Actividades de Tratamiento — España
El Registro de Actividades de Tratamiento es, en España, el documento de registro regulado por Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), que deja constancia ordenada de datos o actos.
El Artículo 30.1 del RGPD especifica el contenido obligatorio del RAT para los responsables del tratamiento — nombre y datos de contacto de la organización, nombre y datos de contacto del Delegado de Protección de Datos (DPD) cuando proceda, las finalidades de cada actividad de tratamiento, una descripción de las categorías de interesados y datos personales, las categorías de destinatarios a quienes se comunican o pueden comunicarse los datos personales, los detalles de las transferencias a terceros países y las garantías aplicadas, los plazos de supresión, y una descripción general de las medidas técnicas y organizativas de seguridad. El Artículo 30.2 especifica el contenido equivalente para los encargados del tratamiento — los mismos elementos adaptados a su función, más la identificación de los responsables en cuyo nombre tratan los datos.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) complementa el RGPD en España con especificaciones nacionales. La AEPD ha publicado una extensa orientación sobre la elaboración del RAT, incluida una herramienta de registro modelo (Facilita RGPD para pymes y la herramienta RAT detallada para organizaciones más grandes) disponible en el sitio web de la AEPD en aepd.es. La AEPD también mantiene el Registro de Actividades del Sector Público (RASP) — un registro público de las actividades de tratamiento realizadas por las autoridades públicas españolas, previsto en el Artículo 31 de la LOPDGDD además de la obligación general del Artículo 30 del RGPD.
La exención del Artículo 30.5 del RGPD — que permite a las organizaciones con menos de 250 empleados no mantener un RAT completo — es muy restrictiva: se aplica únicamente a aquellas cuyo tratamiento de datos personales no sea probable que entrañe riesgos para los derechos y libertades de los interesados, sea ocasional y no incluya categorías especiales de datos del Artículo 9 del RGPD ni datos relativos a condenas penales. En la práctica, casi todas las empresas españolas — con independencia de su tamaño — deben mantener un RAT porque su tratamiento de datos de RRHH de empleados, datos de clientes o datos de marketing implica regularmente un tratamiento no ocasional que puede presentar riesgos. La AEPD ha confirmado que la exención de los 250 empleados no debe interpretarse de forma amplia.
El RAT debe mantenerse por escrito (en papel o en formato electrónico) y debe ponerse a disposición de la AEPD cuando lo solicite conforme al Artículo 30.4 del RGPD. La AEPD puede solicitar el RAT durante una auditoría proactiva, en respuesta a una reclamación de un interesado, o como parte de una investigación formal tras una violación de la seguridad de los datos personales. El incumplimiento de la obligación de mantener un RAT conforme o de aportarlo a la AEPD cuando lo solicite constituye una infracción del Artículo 30 del RGPD, sancionable conforme al Artículo 83.4 del RGPD con multas de hasta 10.000.000 euros o el 2 % del volumen de negocio anual total a nivel mundial, si fuera superior. En la práctica, la AEPD centra sus investigaciones en las infracciones sustantivas de protección de datos más que en los fallos de documentación procedimental, pero la ausencia o inadecuación del RAT agrava significativamente la situación jurídica de una organización que sufre una brecha de seguridad.
El RAT debe mantenerse actualizado — toda nueva actividad de tratamiento, cambio en los plazos de conservación de datos, nueva relación con un encargado o nueva transferencia de datos debe reflejarse en el RAT con prontitud. El Artículo 5.1(e) del RGPD exige minimización de datos y limitación del plazo de conservación — el RAT es el mecanismo a través del cual se implementan y documentan estos principios, convirtiéndolo a la vez en registro de cumplimiento y herramienta operativa para la gestión del ciclo de vida de los datos.
Cuándo necesitas Registro de Actividades de Tratamiento — España
El Registro de Actividades de Tratamiento en España es necesario para prácticamente toda organización en España que trate datos personales — el Artículo 30 del RGPD es aplicable desde el primer día en que la organización comienza a tratar datos personales, con independencia de si cuenta con un programa formal de protección de datos.
El RAT es necesario cuando una organización contrata a su primer empleado — desde ese momento, trata datos de RRHH (expedientes laborales, datos de nómina, datos de Seguridad Social, datos de salud para bajas médicas) que deben documentarse como actividad de tratamiento. La LOPDGDD y el ET imponen requisitos adicionales de documentación para el tratamiento de datos de RRHH que quedan recogidos en el RAT.
El RAT es necesario cuando una empresa lanza un sitio web con formulario de contacto, seguimiento de cookies o suscripción a boletín informativo — cada uno de ellos crea una actividad de tratamiento de datos personales (recogida de direcciones de correo electrónico, direcciones IP, datos de navegación) que debe registrarse en el RAT con su base jurídica, plazo de conservación y medidas de seguridad.
El Registro de Actividades de Tratamiento es necesario antes de implementar cualquier nueva tecnología que trate datos personales — un sistema de gestión de relaciones con clientes (CRM), una plataforma de contabilidad con datos de clientes, un sistema de gestión de RRHH o un sistema de videovigilancia. La entrada en el RAT debe crearse como parte del proceso de Evaluación de Impacto en la Protección de Datos (EIPD) exigido por el Artículo 35 del RGPD para tratamientos de alto riesgo.
El RAT es necesario antes de compartir datos personales con proveedores de servicios terceros (encargados del tratamiento) — proveedores de computación en la nube, gestorías de nóminas, agencias de marketing, empresas de soporte informático. Para cada proveedor es obligatorio un contrato de encargo del tratamiento conforme al Artículo 28 del RGPD, y el RAT documenta la relación.
El RAT es necesario cuando una organización recibe una notificación de inspección de la AEPD, una solicitud de acceso de un interesado o una obligación de notificación de brecha de seguridad conforme al Artículo 33 del RGPD — en cada caso, el RAT es el documento de referencia principal para demostrar el cumplimiento.
El Registro de Actividades de Tratamiento también es necesario al incorporar nuevos encargados del tratamiento conforme al Artículo 28 del Reglamento (UE) 2016/679 — cada nueva relación con un encargado debe reflejarse en el registro como nueva actividad de tratamiento o como actualización de una existente, con referencia al contrato de encargo del tratamiento. La AEPD puede solicitar el registro completo y todos los contratos de encargo asociados durante una inspección conforme al Artículo 57.1(h) del RGPD, y las discrepancias entre el registro y las actividades de tratamiento reales se citan con frecuencia como infracciones en los informes de inspección de la AEPD.
Qué incluir en tu Registro de Actividades de Tratamiento — España
Un Registro de Actividades de Tratamiento conforme en España bajo el Artículo 30 del RGPD debe contener los siguientes elementos obligatorios para cada actividad de tratamiento, complementados por las orientaciones de la AEPD sobre buenas prácticas.
Identidad del responsable/encargado del tratamiento: nombre y datos de contacto de la organización (responsable o encargado del tratamiento), incluido su NIF, domicilio social y los datos de contacto del Delegado de Protección de Datos (DPD) cuando sea exigido por el Artículo 37 del RGPD — las organizaciones que traten categorías especiales de datos, realicen seguimiento masivo o actúen como autoridades públicas deben designar un DPD. El nombre, correo electrónico y teléfono del DPD deben incluirse en el RAT y comunicarse a la AEPD conforme al Artículo 34 de la LOPDGDD.
Nombre y descripción de la actividad de tratamiento: nombre y descripción clara de cada actividad de tratamiento — por ejemplo, «Gestión de expedientes de RRHH de empleados», «Gestión de facturación y cobros a clientes», «Analítica web y seguimiento de cookies», «Videovigilancia de las instalaciones de la empresa». Cada finalidad diferenciada debe tener una entrada separada en el RAT.
Finalidad(es) del tratamiento: declaración específica y explícita de por qué se tratan los datos personales para cada actividad — por ejemplo, «Cumplimiento de las obligaciones derivadas del contrato de trabajo conforme al Artículo 8 ET», «Gestión de la facturación a clientes y cumplimiento fiscal ante la AEAT», «Comunicaciones comerciales a clientes que han dado su consentimiento». La finalidad debe corresponderse con una de las bases jurídicas del Artículo 6.1 del RGPD.
Base jurídica: la base jurídica específica del Artículo 6 del RGPD para cada actividad de tratamiento — consentimiento conforme al Artículo 6.1(a), ejecución de un contrato conforme al Artículo 6.1(b), obligación legal conforme al Artículo 6.1(c), intereses vitales conforme al Artículo 6.1(d), misión de interés público conforme al Artículo 6.1(e), o intereses legítimos conforme al Artículo 6.1(f). Para categorías especiales de datos (datos de salud, datos biométricos, afiliación sindical, etc.) debe citarse la base adicional del Artículo 9.2.
Categorías de interesados y datos personales: los tipos de personas cuyos datos se tratan (empleados, clientes, proveedores, visitantes del sitio web, personas captadas por cámaras de videovigilancia) y las categorías de datos personales (nombres, direcciones de correo electrónico, datos financieros, datos de salud, datos de localización). Esta matriz debe ser específica — «datos personales» es demasiado vago; deben identificarse todas las categorías de datos.
Destinatarios y transferencias: las categorías de destinatarios a quienes se comunican los datos personales — departamentos internos, empresas filiales, autoridades tributarias (AEAT), inspectores de trabajo (ITSS), entidades financieras, agencias de marketing, proveedores de TI. Para las transferencias fuera de la UE/EEE (a terceros países u organizaciones internacionales), debe indicarse el mecanismo de transferencia — decisión de adecuación, Cláusulas Contractuales Tipo (CCT), Normas Corporativas Vinculantes (NCV) u otra garantía del Artículo 46.
Plazos de conservación: el plazo de conservación específico para cada categoría de datos dentro de cada actividad de tratamiento — por ejemplo, «Expedientes de empleo: durante la relación laboral + 4 años por prescripción laboral + 5 años de Seguridad Social»; «Datos de facturación a clientes: 5 años conforme al plazo de prescripción tributaria del Artículo 66 LGT»; «Consentimiento de marketing: hasta su revocación + 3 años». Los plazos de conservación deben ajustarse a los mínimos y máximos legales aplicables a cada categoría de datos conforme al Derecho español (ET, LGT, LOPDGDD, Ley de Prevención de Riesgos Laborales, etc.).
Medidas técnicas y organizativas de seguridad: descripción de las medidas de seguridad aplicadas a cada actividad de tratamiento — cifrado, seudonimización, controles de acceso, procedimientos de copia de seguridad, formación del personal, medidas de seguridad de red y seguridad física para los documentos en papel. El nivel de detalle debe ser proporcional al perfil de riesgo de la actividad de tratamiento.
Forms-legal.com ofrece este modelo de Registro de Actividades de Tratamiento para España como marco de partida. Toda organización debe personalizar el RAT para reflejar sus actividades de tratamiento específicas y revisarlo al menos anualmente, o siempre que se produzca un cambio significativo en el tratamiento. Un Delegado de Protección de Datos (DPD) cualificado o un consultor externo en protección de datos debe revisar el RAT completado para verificar su conformidad con las orientaciones actuales de la AEPD.
Autoridades y referencias clave en materia de protección de datos en España: AEPD (Agencia Española de Protección de Datos) — autoridad supervisora nacional. Facilita RGPD — herramienta gratuita en línea de la AEPD para la elaboración del RAT en pymes. Artículo 30 RGPD — obligación del RAT. Artículo 31 LOPDGDD — obligaciones adicionales del sector público. Artículo 83.4 RGPD — sanciones por infracciones del RAT. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.
Citar esta página
Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:
Forms Legal. (2026). Registro de Actividades de Tratamiento — España (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/policies/registro-de-actividades-de-tratamiento-espana
"Registro de Actividades de Tratamiento — España (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/policies/registro-de-actividades-de-tratamiento-espana.
@misc{formslegal-registro-de-actividades-de-tratamiento-espana,
author = {{Forms Legal}},
title = {Registro de Actividades de Tratamiento — España (España)},
year = {2026},
howpublished = {\url{https://forms-legal.com/es/espana/business/policies/registro-de-actividades-de-tratamiento-espana}},
note = {Free legal document template}
}Preguntas Frecuentes
Conforme al artículo 30 del RGPD, tanto los responsables del tratamiento como los encargados del tratamiento deben mantener un Registro de Actividades de Tratamiento (RAT). En la práctica, esto significa que prácticamente todas las empresas y entidades públicas en España que traten datos personales están obligadas. La exención del artículo 30.5 del RGPD para organizaciones con menos de 250 empleados es muy restrictiva — solo se aplica cuando el tratamiento es ocasional, no entraña riesgos para los interesados y no implica categorías especiales de datos ni datos de condenas penales. Dado que la mayoría de las empresas españolas tratan datos de RRHH (que no son ocasionales e implican al menos datos de salud para bajas médicas) y datos de clientes (no ocasionales en las relaciones comerciales en curso), la exención raramente resulta aplicable. La AEPD ha indicado de forma sistemática en sus documentos de orientación que las empresas españolas, incluidas las pequeñas pymes, deben mantener un RAT. Las autoridades públicas en España deben mantener un registro separado conforme al artículo 31 de la LOPDGDD que sea accesible al público a través del sitio web de la AEPD, además del RAT interno del artículo 30.
El Registro de Actividades de Tratamiento (RAT) conforme al artículo 30 del RGPD es un documento interno de responsabilidad proactiva mantenido por la organización para sus propios registros y puesto a disposición de la AEPD cuando lo solicita — no se publica externamente. La Política de Privacidad (Política de Privacidad o Aviso Legal de Protección de Datos) es un documento externo que se facilita a los interesados conforme a los artículos 13 y 14 del RGPD, informándoles de cómo se tratan sus datos personales cuando interactúan con la organización (como visitantes del sitio web, clientes, empleados, etc.). La Política de Privacidad debe incluir la información exigida por los artículos 13 del RGPD (datos recabados directamente del interesado) y 14 (datos recabados de terceros). Ambos documentos abordan temas similares — finalidades del tratamiento, bases jurídicas, plazos de conservación, categorías de destinatarios — pero desde perspectivas distintas: el RAT es un inventario interno exhaustivo organizado por actividades de tratamiento a efectos de responsabilidad proactiva, mientras que la Política de Privacidad es un aviso externo conciso centrado en informar al interesado de sus derechos. Una organización necesita ambos documentos, y deben ser coherentes — las discrepancias entre el RAT y la Política de Privacidad son una señal de alarma para la AEPD durante las inspecciones.
El artículo 30 del RGPD y las orientaciones de la AEPD exigen que el RAT se mantenga actualizado — esto significa que debe actualizarse siempre que se produzca un cambio significativo en las actividades de tratamiento de la organización. Los eventos que desencadenan la actualización del RAT incluyen: el lanzamiento de un nuevo producto o servicio que implique tratamiento de datos personales; la implementación de nuevo software (CRM, ERP, sistema de RRHH, plataforma de analítica); la contratación de un nuevo encargado del tratamiento (externalización de nóminas, migración a un proveedor en la nube, contratación de una nueva agencia de marketing); cambios en los plazos de conservación de datos; inicio o cese de transferencias a terceros países; sufrimiento de una brecha de seguridad de datos personales que revele deficiencias en el tratamiento documentado; y cambios en la legislación aplicable que afecten a la base jurídica del tratamiento. La AEPD recomienda como buena práctica una revisión formal anual de todo el RAT para verificar su exactitud y vigencia, además de las actualizaciones puntuales. La revisión del RAT debe documentarse — registrando la fecha de revisión, quién la realizó, qué cambios se introdujeron y quién aprobó la versión actualizada. Este rastro documental demuestra la responsabilidad proactiva de la organización conforme al artículo 5.2 del RGPD (el principio de responsabilidad proactiva — el responsable debe poder demostrar el cumplimiento).
El incumplimiento de la obligación de mantener un Registro de Actividades de Tratamiento conforme a los requisitos del artículo 30 del RGPD, o de aportarlo a la AEPD cuando lo solicite conforme al artículo 30.4, constituye una infracción sancionable conforme al artículo 83.4 del RGPD — el nivel para infracciones de obligaciones básicas (a diferencia del artículo 83.5, de mayor gravedad, para infracciones más graves). La sanción máxima del artículo 83.4 es de 10.000.000 euros o el 2 % del volumen de negocio anual total a nivel mundial, si fuera superior. La AEPD ejerce su potestad sancionadora teniendo en cuenta factores como la naturaleza, gravedad y duración de la infracción; el número de interesados afectados; si la organización cooperó con la investigación; si adoptó medidas correctoras; y las infracciones previas. En la práctica, la AEPD ha impuesto multas de seis cifras a grandes organizaciones por infracciones graves del RGPD, pero se centra habitualmente en los fallos sustantivos de protección de datos (tratamiento ilícito, seguridad inadecuada que conduce a brechas) más que en la documentación procedimental. Sin embargo, la ausencia o inadecuación grave del RAT en el contexto de una brecha de seguridad agrava significativamente la valoración de la AEPD y puede convertir lo que sería una sanción moderada en una grave. Las resoluciones sancionadoras publicadas por la AEPD están disponibles públicamente en aepd.es y orientan sobre cómo aplica su potestad sancionadora.
El artículo 37 del RGPD exige a las organizaciones designar un Delegado de Protección de Datos (DPD) en tres supuestos: (1) autoridades y organismos públicos; (2) organizaciones cuya actividad principal implique un seguimiento sistemático a gran escala de los interesados (p. ej., empresas de telecomunicaciones, grandes plataformas de redes sociales, entidades financieras con elaboración extensiva de perfiles); y (3) organizaciones cuya actividad principal implique el tratamiento a gran escala de categorías especiales de datos del artículo 9 o de datos relativos a condenas penales del artículo 10. El artículo 34 de la LOPDGDD amplía la obligación de designar DPD en España a: hospitales y centros de salud, centros educativos, agencias de publicidad y empresas de investigación de mercados, entidades de crédito y aseguradoras, empresas de servicios de seguridad, operadores de juegos de azar y empresas de suministros. Los datos de contacto del DPD — nombre, correo electrónico, teléfono — deben incluirse en el RAT conforme al artículo 30.1(a) y comunicarse a la AEPD conforme al artículo 37.1 de la LOPDGDD. El RAT debe reflejar si cada actividad de tratamiento implica un tratamiento que corresponde al ámbito de supervisión del DPD. Para las organizaciones que no están obligadas a designar DPD, el RAT debe indicar la persona responsable de las consultas de protección de datos dentro de la organización, habitualmente el director jurídico, el director de RRHH o un asesor externo en protección de datos.
El artículo 30.1(e) del RGPD exige que el RAT documente cualquier transferencia de datos personales a un tercer país (fuera de la UE/EEE) o a una organización internacional, incluyendo la identificación de ese país u organización y la documentación de las garantías adecuadas aplicadas conforme al Capítulo V del RGPD. Para las empresas españolas, los escenarios de transferencia internacional más habituales son: (1) Proveedores de servicios en la nube de EE.UU. (AWS, Microsoft Azure, Google Cloud) — desde la sentencia Schrems II del TJUE (C-311/18, julio de 2020), que invalidó el Escudo de Privacidad UE-EE.UU., las transferencias a proveedores estadounidenses deben basarse en las Cláusulas Contractuales Tipo (CCT) adoptadas por la Decisión de la Comisión 2021/914, complementadas por Evaluaciones de Impacto de la Transferencia (TIA); el Marco de Privacidad de Datos UE-EE.UU. (DPF) adoptado en julio de 2023 proporciona ahora un mecanismo basado en la adecuación para las transferencias a empresas estadounidenses certificadas en el DPF, aunque las TIA siguen siendo aconsejables; (2) Decisiones de adecuación — las transferencias a países con decisión de adecuación del RGPD (Reino Unido, Suiza, Japón, Canadá, Nueva Zelanda, etc.) están permitidas sin garantías adicionales, y el RAT debe hacer referencia a la decisión de adecuación aplicable; (3) Normas Corporativas Vinculantes (NCV) — para los grupos multinacionales que transfieren datos dentro del grupo a entidades fuera del EEE, las NCV aprobadas por una autoridad supervisora líder de la UE proporcionan la garantía. Cada transferencia debe documentarse en el RAT con el país de destino, el mecanismo de transferencia y una referencia a la documentación de garantías relevante.
Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo
¿Encontró un error? AvísenosDocumentos Relacionados
También puede encontrar útiles estos documentos:
Protocolo de Uso de Dispositivos Digitales España
Protocolo de Uso de Dispositivos Digitales para España — conforme al artículo 87 de la Ley Orgánica 3/2018 (LOPDGDD), que establece las normas del empleador sobre el uso aceptable de ordenadores corporativos, teléfonos móviles, tabletas y acceso a internet, junto con los procedimientos de supervisión de empleados compatibles con la normativa española de protección de datos y derecho laboral.
Protocolo del Canal Interno de Información (Canal de Denuncias)
Protocolo del Canal Interno de Información para España — conforme a la Ley 2/2023, de 20 de febrero, artículo 5, que establece un sistema interno de información para infracciones del derecho de la UE y del ordenamiento nacional, protegiendo a los informantes frente a represalias y garantizando el tratamiento confidencial de los comunicados a través del responsable del sistema.
Registro de Control de Acceso (España)
Un Registro de Control de Acceso para España — que regula el registro de entradas y salidas en el lugar de trabajo conforme al artículo 89 de la Ley Orgánica 3/2018 (LOPDGDD), el Real Decreto 488/1997 y el artículo 6 del RGPD — documentando quién accede a las instalaciones o sistemas de la empresa, cuándo y con qué autorización.
Contrato de Trabajo Indefinido España
Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).
Protocolo de Igualdad Retributiva España
Protocolo de Igualdad Retributiva para España — conforme al Real Decreto 902/2020, de 13 de octubre, artículo 3, que establece procedimientos de auditoría salarial transparentes, criterios de valoración de puestos de trabajo y medidas correctoras de la brecha retributiva para alcanzar la igualdad de remuneración por trabajos de igual valor.