Registro de Actividades de Tratamiento (RAT): Guía del RGPD

Si hay un documento que está en el centro del cumplimiento del RGPD, es el Registro de Actividades de Tratamiento. Su RAT es el registro definitivo de qué datos personales trata su organización, por qué los trata, con quién se comparten y cuánto tiempo los conserva.

El artículo 30 hace obligatorio este registro para la mayoría de las organizaciones — y la exención para empresas con menos de 250 empleados es mucho más estrecha de lo que la gente cree. Si su tratamiento no es “ocasional”, incluye datos de categorías especiales o podría suponer un riesgo para los derechos de los interesados, necesita un RAT independientemente del tamaño de la empresa. Para cualquier empresa SaaS que procese datos de clientes como parte de su actividad principal, la exención prácticamente no se aplica.

Y lo que es más importante, su RAT no es solo un documento de cumplimiento. Es la base sobre la que se construye todo lo demás — sus avisos de privacidad, sus Acuerdos de Tratamiento de Datos, sus Evaluaciones de Impacto en la Protección de Datos y su capacidad para responder a solicitudes de los interesados. Si su RAT está bien hecho, el resto de su programa de cumplimiento se vuelve drásticamente más fácil.

¿Qué es un RAT?

Un Registro de Actividades de Tratamiento es un registro estructurado que documenta cada categoría de tratamiento de datos personales que realiza su organización. Piense en él como un mapa operativo de los datos personales que fluyen a través de su negocio.

El RGPD distingue entre dos tipos de RAT:

RAT de responsable del tratamiento (artículo 30(1)) — Requerido cuando usted determina las finalidades y los medios del tratamiento. Esto cubre sus propios datos empresariales: registros de clientes, datos de empleados, contactos de marketing, datos de visitantes del sitio web, etc.

RAT de encargado del tratamiento (artículo 30(2)) — Requerido cuando usted trata datos en nombre de otra organización. Para las empresas SaaS, esto cubre los datos que sus clientes almacenan y procesan a través de su plataforma.

La mayoría de las empresas SaaS necesitan ambos: un RAT de responsable para su propio tratamiento de datos y un RAT de encargado para los datos que procesan en nombre de sus clientes.

¿Qué debe contener un RAT?

RAT de responsable — Artículo 30(1)

Para cada actividad de tratamiento en la que actúe como responsable, su RAT debe incluir:

1. Su identidad y datos de contacto — El nombre y los datos de contacto del responsable del tratamiento. Si tiene un Delegado de Protección de Datos, incluya también sus datos. Si trata datos conjuntamente con otro responsable, incluya sus datos.

2. Finalidades del tratamiento — Por qué trata estos datos. Sea específico: “para prestar el servicio contratado” es mejor que “operaciones empresariales”, pero “para procesar los pagos de suscripción de clientes a través de Stripe” es aún mejor.

3. Categorías de interesados — A quién se refieren los datos: clientes, prospectos, empleados, visitantes del sitio web, candidatos, usuarios finales de su plataforma.

4. Categorías de datos personales — Qué tipos de datos trata para cada categoría de interesados: nombres, direcciones de correo electrónico, direcciones IP, datos de pago, registros de uso, contenido de tickets de soporte.

5. Categorías de destinatarios — Quién recibe los datos: equipos internos, encargados del tratamiento externos, organizaciones asociadas, autoridades públicas. Incluya proveedores específicos cuando sea posible.

6. Transferencias internacionales — Si los datos se transfieren a un país fuera del EEE, documente qué países y qué garantías se aplican (decisión de adecuación, Cláusulas Contractuales Tipo, Marco de Privacidad de Datos). Consulte nuestra guía de transferencias internacionales de datos para el panorama completo.

7. Plazos de conservación — Cuánto tiempo conserva cada categoría de datos. Si no puede especificar un plazo exacto, documente los criterios que utiliza para determinar la conservación. Nuestra guía de conservación de datos incluye una plantilla para empresas SaaS.

8. Medidas de seguridad — Una descripción general de las medidas de seguridad técnicas y organizativas implementadas: cifrado, controles de acceso, procedimientos de copia de seguridad, formación de empleados.

RAT de encargado — Artículo 30(2)

Para cada actividad de tratamiento en la que actúe como encargado, su RAT debe incluir:

1. Su identidad y datos de contacto — Como encargado, además de los datos del responsable.
2. Categorías de tratamiento — Qué tipos de tratamiento realiza para cada responsable (almacenamiento, análisis, transmisión, etc.).
3. Transferencias internacionales — Los mismos requisitos que el RAT de responsable.
4. Medidas de seguridad — Los mismos requisitos que el RAT de responsable.

El RAT de encargado es más ligero que la versión de responsable porque el responsable retiene la responsabilidad principal de documentar finalidades, bases legales y plazos de conservación.

Cómo construir su RAT

Paso 1: Inventariar todas las actividades de tratamiento

Comience enumerando cada actividad en su organización que implique datos personales. No se limite a lo evidente — investigue los rincones:

• Operaciones del producto principal: Registro de usuarios, autenticación, gestión de perfiles, seguimiento del uso de funcionalidades, mensajería dentro de la aplicación, almacenamiento de archivos.
• Ventas y marketing: Formularios de captación de leads, email marketing, registros de CRM, inscripciones a eventos, solicitudes de demo.
• Éxito del cliente: Tickets de soporte, encuestas de satisfacción del cliente, notas de gestión de cuentas, registros de incorporación.
• Finanzas: Facturación, procesamiento de pagos, gestión de gastos, registros fiscales.
• RR. HH.: Registros de empleados, selección, nóminas, evaluaciones de rendimiento, registros de formación.
• TI y seguridad: Registros de acceso, gestión de dispositivos, registros de incidentes de seguridad, tickets de soporte de TI.
• Sitio web y analítica: Datos de cookies, analítica de visitantes, pruebas A/B, mapas de calor.

Paso 2: Mapear los flujos de datos

Para cada actividad de tratamiento, trace de dónde vienen los datos, adónde van y quién los toca en el camino.

Preguntas a responder:

• ¿De dónde provienen estos datos? (Directamente del interesado, de otro sistema, de un tercero)
• ¿Dónde se almacenan? (Su base de datos, una herramienta SaaS de terceros, ambas)
• ¿Quién tiene acceso internamente? (Qué equipos, qué roles)
• ¿Se comparten con terceros? (Proveedores, socios, autoridades)
• ¿Salen del EEE? (Alojamiento en EE. UU., CDN global, soporte deslocalizado)

Paso 3: Documentar la base legal para cada actividad

Para cada actividad de tratamiento en su RAT de responsable, registre cuál de las seis bases legales se aplica. Este es un paso crítico que muchas organizaciones hacen con prisa.

Bases legales comunes para empresas SaaS:

• Necesidad contractual — Tratamiento necesario para prestar su servicio (por ejemplo, almacenar datos de cuentas de usuario)
• Interés legítimo — Tratamiento que sirve a sus intereses empresariales sin prevalecer sobre los derechos del interesado (por ejemplo, analítica de producto, prevención de fraude)
• Consentimiento — Tratamiento donde ha obtenido una aceptación explícita (por ejemplo, correos de marketing, cookies no esenciales)
• Obligación legal — Tratamiento exigido por ley (por ejemplo, contabilidad financiera, declaraciones fiscales)

Paso 4: Registrar los plazos de conservación

Para cada categoría de datos, documente cuánto tiempo los conserva y por qué. Los plazos de conservación deben basarse en justificaciones específicas:

• Duración del contrato más un período razonable posterior a la finalización
• Requisitos legales (registros fiscales durante 7-10 años, según la jurisdicción)
• Necesidad empresarial legítima con un límite de tiempo definido
• Hasta que se retire el consentimiento (para tratamiento basado en consentimiento)

Evite entradas vagas como “el tiempo que sea necesario”. Las autoridades de control esperan plazos específicos o criterios claramente definidos.

Paso 5: Identificar las transferencias internacionales

Identifique cualquier actividad de tratamiento donde los datos salgan del EEE. Para cada transferencia, documente:

• El país de destino
• El mecanismo de transferencia (decisión de adecuación, CCT, MPD, normas corporativas vinculantes)
• El proveedor o entidad específica involucrada

Paso 6: Mantenerlo actualizado

Un RAT que refleja la realidad del año pasado no cumple. Establezca una cadencia de revisión:

• Revisiones trimestrales: Compruebe que las entradas existentes siguen siendo precisas. ¿Ha cambiado algún proveedor? ¿Se ha lanzado alguna nueva funcionalidad?
• Actualizaciones basadas en eventos: ¿Nuevo proveedor incorporado? Actualice el RAT. ¿Nueva funcionalidad que trata datos personales? Actualice el RAT. ¿Reestructuración organizativa? Actualice el RAT.
• Auditoría integral anual: Repase todo el registro con las partes interesadas de cada departamento.

El RAT en la práctica: ejemplos SaaS

Estos son ejemplos concretos de actividades de tratamiento que una empresa SaaS típica podría documentar:

Gestión de cuentas de usuario

• Interesados: Usuarios finales de la plataforma
• Categorías de datos: Nombre, dirección de correo electrónico, contraseña hasheada, configuración del perfil, avatar
• Finalidad: Proporcionar y gestionar el acceso de los usuarios a la plataforma
• Base legal: Necesidad contractual
• Destinatarios: Base de datos de la aplicación (AWS UE), servicio de autenticación
• Conservación: Duración de la cuenta más 30 días después de la solicitud de eliminación
• Transferencias: Ninguna (infraestructura alojada en la UE)

Analítica del producto

• Interesados: Usuarios finales de la plataforma
• Categorías de datos: ID de usuario (seudonimizado), eventos de uso de funcionalidades, duración de la sesión, navegador/SO
• Finalidad: Comprender el uso del producto y mejorar la plataforma
• Base legal: Interés legítimo (mejora del producto)
• Destinatarios: Plataforma de analítica (por ejemplo, Amplitude, Mixpanel)
• Conservación: 24 meses desde la recopilación
• Transferencias: EE. UU. (Marco de Privacidad de Datos UE-EE. UU.)

Email marketing

• Interesados: Suscriptores de la newsletter, usuarios de prueba, clientes
• Categorías de datos: Nombre, dirección de correo electrónico, preferencias de suscripción, datos de interacción
• Finalidad: Enviar actualizaciones del producto, contenido educativo y comunicaciones de marketing
• Base legal: Consentimiento (para marketing), interés legítimo (para actualizaciones del producto a clientes existentes)
• Destinatarios: Plataforma de email marketing (por ejemplo, Customer.io, Mailchimp)
• Conservación: Hasta la retirada del consentimiento o 12 meses después de la última interacción
• Transferencias: EE. UU. (Marco de Privacidad de Datos UE-EE. UU.)

Soporte al cliente

• Interesados: Clientes y usuarios finales que envían solicitudes de soporte
• Categorías de datos: Nombre, dirección de correo electrónico, contenido del ticket, archivos adjuntos, transcripciones de chat
• Finalidad: Resolver problemas de soporte y mantener la calidad del servicio
• Base legal: Necesidad contractual, interés legítimo (mejora del servicio)
• Destinatarios: Plataforma de soporte (por ejemplo, Zendesk, Intercom), equipo de soporte interno
• Conservación: Duración de la relación con el cliente más 12 meses
• Transferencias: EE. UU. (Cláusulas Contractuales Tipo)

Procesamiento de pagos

• Interesados: Contactos de facturación en las organizaciones de los clientes
• Categorías de datos: Nombre, dirección de correo electrónico, dirección de facturación, método de pago (datos de tarjeta gestionados por el encargado)
• Finalidad: Procesar pagos de suscripción y gestionar la facturación
• Base legal: Necesidad contractual, obligación legal (registros financieros)
• Destinatarios: Procesador de pagos (por ejemplo, Stripe), software de contabilidad
• Conservación: Duración de la suscripción más 7 años (requisito legal para registros financieros)
• Transferencias: EE. UU. (Marco de Privacidad de Datos UE-EE. UU. para Stripe)

El problema de las hojas de cálculo

La mayoría de los equipos SaaS comienzan su RAT en una hoja de cálculo. Es la primera opción natural — flexible, familiar y gratuita. Pero las hojas de cálculo se convierten en un lastre a medida que su programa de cumplimiento madura:

Caos en el control de versiones. Cuando varias personas pueden editar la hoja de cálculo, ¿qué versión es la oficial? ¿Cuándo se hizo la última edición y por quién? Si alguien borra accidentalmente una fila, ¿hay una copia de seguridad?

Sin historial de cambios. Las autoridades de control pueden preguntar cuándo se añadió o modificó una entrada específica. Las hojas de cálculo no mantienen pistas de auditoría granulares de los cambios a nivel de celda.

Datos obsoletos. Sin recordatorios automáticos, las revisiones del RAT se retrasan. La hoja de cálculo diverge gradualmente de la realidad — se omiten nuevos proveedores, persisten procesos obsoletos, los plazos de conservación no se revisan.

Sin estructura relacional. Su RAT se conecta con todo: proveedores, DPA, avisos de privacidad, flujos de datos, evaluaciones de base legal. En una hoja de cálculo, estas conexiones solo existen en la memoria de su equipo. En un sistema específico, son explícitas y navegables.

Preparación para auditoría. Cuando una autoridad de control solicite su RAT, una hoja de cálculo con formato inconsistente, campos faltantes y sin un propietario claro no causa buena impresión. Transmite un cumplimiento ad-hoc en lugar de un programa maduro.

Cómo GRCTrail gestiona su RAT

GRCTrail reemplaza la hoja de cálculo con un RAT estructurado, conectado y siempre actualizado:

Generado automáticamente a partir de su mapeo de datos. Conecte sus sistemas y GRCTrail rellena su RAT a partir de sus actividades de tratamiento reales. Sin entrada manual de datos para la configuración inicial.

Conectado a sus DPA y registro de proveedores. Cada actividad de tratamiento se vincula al Acuerdo de Tratamiento de Datos y registro de proveedor correspondiente. Cuando cambian los subencargados de un proveedor, la conexión es visible en su RAT.

Siempre listo para auditoría. Cada cambio tiene marca de tiempo y atribución. Exporte su RAT en formatos adecuados para presentaciones ante autoridades de control en cualquier momento.

Recordatorios de revisión. Avisos automáticos para revisiones trimestrales y actualizaciones basadas en eventos garantizan que su RAT nunca quede obsoleto.

Genere su RAT automáticamente →

Guías relacionadas

• Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
• Acuerdos de Tratamiento de Datos (DPA) — Gestión de los contratos con sus proveedores
• Políticas de conservación de datos — Establecimiento y documentación de plazos de conservación
• Las seis bases legales — Elección del fundamento jurídico adecuado para cada actividad

Comience con GRCTrail →