El registro de actividades de tratamiento (RAT), también denominado RAT o ROPA, es uno de los requisitos fundamentales que la Llei 29/2021 de protecció de dades personals impone a las organizaciones que operan en el Principado de Andorra. Esta herramienta recoge de manera estructurada cada uno de los tratamientos de datos personales que realiza una entidad, identificando los fines, las categorías de datos tratados, los destinatarios, los plazos de conservación y las medidas de seguridad aplicadas. Su correcta elaboración es esencial para demostrar el cumplimiento de la normativa ante la Agència Andorrana de Protecció de Dades (APDA).
En este artículo ofrecemos una guía completa sobre cómo elaborar el RAT conforme a la legislación andorrana, con ejemplos prácticos de actividades de tratamiento habituales (gestión de clientes, recursos humanos, videovigilancia, marketing) y enlaces a la plantilla oficial descargable que la APDA pone a disposición de los titulares. Si necesitas asesoramiento especializado, desde Andorra Services te ayudamos en todo el proceso.
¿Qué es el registro de actividades de tratamiento y por qué es obligatorio?
El registro de actividades de tratamiento es un instrumento interno que debe mantener todo responsable y todo encargado del tratamiento de datos personales. Su objeto es dejar constancia por escrito de cada uno de los tratamientos que la organización lleva a cabo, ya sea de manera automatizada o no. La normativa establece que el RAT debe estar por escrito, preferiblemente en formato electrónico, y ha de estar disponible para su consulta por parte de la APDA en caso de inspección o auditoría.
La necesidad de llevar un registro de actividades nace del artículo 30 del RGPD europeo y se traslada al ordenamiento andorrano a través de la Llei 29/2021. No disponer de un registro cuando es exigible se considera una infracción grave que puede acarrear sanciones significativas. Todas las organizaciones con más de 250 empleados están obligadas a mantenerlo, pero también aquellas de menor tamaño cuando el tratamiento pueda entrañar un riesgo para los derechos y las libertades de las personas, cuando no sea ocasional o cuando incluya categorías especiales de datos.
El RAT no es un trámite burocrático sin valor: constituye la columna vertebral de la responsabilidad proactiva en materia de protección de datos. Permite a la entidad tener una visión global de todos los flujos de datos personales, identificar riesgos, tomar alguna decisión estratégicas sobre seguridad y demostrar ante cualquier verificación que se cumplen las obligaciones que establece la ley.
Contenido obligatorio del instrumento según la legislación andorrana
El contenido del registro de actividades de tratamiento debe ajustarse al tratamiento concreto que se recoja. No existe un modelo único predefinido, lo que significa que cada organización debe adaptarlo a su realidad. Sin embargo, la ley establece unos campos mínimos que todo RAT debe incluir para cada actividad de tratamiento registrada.
En primer lugar, se debe identificar al responsable del tratamiento con su contacto, así como al delegado de protección de datos (DPD) si se ha designado uno. A continuación, se requiere una descripción de la finalidad o finalidades del tratamiento. Por ejemplo, si el tratamiento tiene por objeto la administración del personal, habrá que detallar cada subfinalidad: nóminas, recursos humanos, formación, cotizaciones, control de ausencias, entre otras.
El RAT debe recoger también las categorías de interesados (clientes, empleados, proveedores) y las categorías de datos personales que se tratan en cada caso (datos identificativos como nombre y DNI, datos de contacto, datos económicos, datos de salud en su caso). Asimismo, se han de indicar los destinatarios o categorías de destinatarios a quienes se comunican o transmitirán la comunicación de los datos, incluidas las transferencias internacionales.
Finalmente, el registro debe incluir los plazos previstos para la supresión de las diferentes categorías de datos y una descripción general de las medidas técnicas y organizativas de seguridad implementadas. Estos campos coinciden en gran medida con los que exige el RGPD, lo que facilita la armonización para organizaciones que operan en varios territorios.
Plantilla oficial de la APDA: descarga en PDF
La Agència de Protecció de Dades d’Andorra (APDA) ofrece modelos oficiales para facilitar el cumplimiento de la normativa. En su página web (www.apda.ad) se puede descargar la plantilla del RAT , identificada como «001_RAT». Este recurso constituye un modelo de referencia que incluye todos los campos exigidos: del responsable, finalidades con su base de licitud, categorías de datos, categorías de destinatarios, plazos de supresión y medidas de seguridad.
La plantilla publicada utiliza una estructura clara que permite a cualquier organización completarla con la información relativa a cada uno de sus tratamientos. El modelo publicado por la APDA toma como ejemplo la administración del personal de la propia agencia, lo que resulta especialmente útil como referencia. Puedes descargar este documento directamente desde aquí.
Además de los modelos de la APDA, existen otros recursos. La AEPD española también ofrece un modelo genérico de RAT que puede servir como guía complementaria, si bien hay que adaptarlo siempre a la legislación andorrana. Lo importante es que el formato elegido (ya sea , hoja de cálculo o formato digital) permita mantener el registro actualizado y disponible para su presentación ante las autoridades competentes.
Criterios para organizar el registro de actividades
Se pueden utilizar diferentes criterios para organizar el registro de actividades de tratamiento. El más habitual consiste en crear un registro independiente por cada actividad de tratamiento diferenciada. Por ejemplo, una ficha para la gestión de clientes, otra para recursos humanos, otra para videovigilancia, otra para marketing directo, etc. Esta estructura permite mantener cada documento perfectamente delimitado.
Otro criterio válido es organizar el registro por departamentos de la organización (comercial, financiero, jurídico, comunicación) o por bases de legitimación (consentimiento, relación contractual, obligación legal, interés legítimo). La valoración de cuál es el criterio más adecuado dependerá de la complejidad y el tamaño de cada entidad. Lo fundamental es que el resultado final ofrezca una descripción completa y coherente de todos los tratamientos.
Ejemplos prácticos de actividades de tratamiento
Para comprender mejor cómo se completa un RAT, a continuación se presentan varios ejemplos de actividades de tratamiento habituales que cualquier organización andorrana puede necesitar registrar.
Ejemplo 1 – Gestión de clientes: el fin es gestionar la relación comercial con los clientes, emitir facturas y prestar los servicios contratados. La base de legitimación será la ejecución del contrato. Las categorías de datos incluyen nombre, DNI, dirección, teléfono, correo electrónico y bancarios. Los destinatarios pueden ser administraciones tributarias y entidades financieras. El plazo de supresión se fija conforme a las obligaciones fiscales vigentes.
Ejemplo 2 – Recursos humanos: el tratamiento tiene por finalidad la gestión de los contratos laborales. Además, aborda tratamiento de de los contratos laborales, nóminas, recursos humanos, formación y cotizaciones sociales. Se tratan datos identificativos (nombre, DNI, dirección), datos académicos, datos económicos y, en determinados supuestos, datos de salud. Los destinatarios incluyen la CASS y otras administraciones públicas. La utilización de estos datos se limita estrictamente a los fines laborales.
Ejemplo 3 – Videovigilancia: la finalidad es garantizar la seguridad de las personas, los bienes y las instalaciones. La base de legitimación es el interés legítimo del responsable. Las categorías de datos se limitan a imágenes captadas por las cámaras. En este caso, el plazo de retención no debe exceder los 30 días, salvo que las imágenes sean objeto de una investigación. La APDA ha publicado directrices específicas sobre el uso de sistemas de videovigilancia en su guía de obligaciones.
Ejemplo 4 – Marketing y comunicación y promoción comercial: la razón del tratamiento es el envío de comunicaciones y promociones y newsletters. La base de legitimación es el consentimiento del interesado. Las categorías de datos son nombre, correo electrónico y preferencias. Los interesados pueden revocar su consentimiento en cualquier momento, ejerciendo el derecho u oposición.
Ejemplo 5 – Administración económica y presupuestaria: el objeto es la gestión contable y financiera de la organización. Incluye datos de proveedores, bancarios y facturación. Los destinatarios son entidades financieras y auditores. Este tratamiento tiene como base una exigencia legal de conservación contable.
Cómo rellenar cada campo del RAT: guía paso a paso
Cada ficha del RAT debe completarse con precisión. A continuación, describimos cómo abordar los campos principales. En el campo «Responsable», se indicará la razón social, el CIF o número de registro, la dirección y los de contacto del responsable. Si la organización cuenta con un delegado de protección de datos personales, se incluirán también sus de contacto.
En «Finalidad del tratamiento» se detalla el objetivo concreto del tratamiento. Se recomienda distinguir una finalidad central y, cuando sea necesario, subfinalidades. Por cada una se debe indicar la base jurídica que la ampara (artículo 6 de la Llei 29/2021): consentimiento, ejecución contractual, obligación legal, interés vital, interés público o interés legítimo. Un ejemplo habitual es separar la razón principal «administración laboral» en subfinalidades como nóminas, recursos humanos, formación o ejercicio del seguimiento horario.
En las «Categorías de datos» se enumeran los tipos de información personal que se tratan: datos identificativos, datos de contacto, datos económicos, registros de conexión, y en su caso datos de categorías especiales (salud, afiliación sindical). se indican las entidades o categorías de entidades a las que se comunican los datos. Finalmente, en «Plazos de eliminación» y «Medidas de seguridad» se documentan, respectivamente, los criterios temporales de conservación y las medidas técnicas y organizativas aplicadas.
El RAT del responsable frente al RAT del encargado
La Llei 29/2021, al igual que el RGPD, distingue entre el registro que debe llevar el responsable y el que corresponde al encargado. El del primero recoge la totalidad de los tratamientos bajo su control, con todos los campos descritos anteriormente. El del encargado, en cambio, se centra en las categorías de tratamientos realizados por cuenta de cada uno de los titulares para los que trabaja, junto con las medidas de seguridad aplicadas.
En la práctica, muchas organizaciones actúan simultáneamente como responsables y como encargados. En ese caso, deberán mantener ambos registros diferenciados, lo que exige un ejercicio de análisis previo para determinar en qué tratamientos la organización decide los fines y medios (responsable) y en cuáles actúa siguiendo las instrucciones de otro (encargado).
Consecuencias de no disponer del registro de actividades de tratamiento
No disponer del RAT cuando la ley lo exige se considera una infracción grave tanto en el marco del RGPD como de la legislación andorrana. Las organizaciones que incumplan este deber pueden enfrentarse a sanciones económicas significativas impuestas por la APDA, además de verse sometidas a auditorías y procedimientos de control por parte de las autoridades de protección de datos.
Más allá de las sanciones, la ausencia dla falta de este registro dificulta la gestión interna de los datos y aumenta el riesgo de vulneraciones de seguridad. Sin un registro actualizado, la entidad no dispone de una visión clara de qué datos trata, con qué finalidad, a quién los comunica y durante cuánto tiempo los conserva. Esto compromete directamente los derechos (acceso, rectificación, supresión u oposición) de los interesados, sus derechos y la capacidad de respuesta ante el ejercicio de derechos de acceso, rectificación o supresión. Para conocer en detalle el régimen sancionador, puedes consultar este artículo.
Recomendaciones para elaborar y mantener el RAT
Es recomendable contar con el asesoramiento de expertos en la materia para elaborar el registro de actividades de tratamiento. En Andorra Services disponemos de un equipo especializado en protección de datos personales que puede acompañarte desde la identificación de cada actividad hasta la entrega del registro final completo.
Entre las mejores prácticas destaca mantener el registro permanentemente actualizado: cada vez que se incorpore un nuevo tratamiento o se modifique uno existente, el registro debe reflejar el cambio. Se recomienda también asignar un encargado interno de la actualización, establecer revisiones periódicas (como mínimo anuales) y conservar un historial de versiones. La utilización de herramientas digitales facilita enormemente esta tarea frente al papel.
Otro aspecto clave es la coherencia: la información del RAT debe ser consistente con las cláusulas informativas que se ofrecen a los interesados, con los contratos de encargado del tratamiento y con la política de privacidad publicada. Cualquier discrepancia puede ser detectada en una auditoría y generar un problema de cumplimiento.
Conclusión: el RAT como pilar de la responsabilidad proactiva en Andorra
El registro de actividades es mucho más que un documento formal: es la herramienta que permite a cada organización demostrar que conoce y tiene localizados los datos personales que maneja. En el contexto de la Llei 29/2021, que alinea Andorra con los estándares del RGPD europeo, contar con un registro completo, actualizado y bien estructurado no es solo una obligación legal, sino un elemento diferenciador en la gestión responsable de la información.
Tanto los modelos oficiales de la APDA como los ejemplos presentados en este artículo pueden servir de punto de partida para que cualquier organización elabore su propio RAT. Lo esencial es adaptar el contenido a la realidad de cada entidad, revisarlo con regularidad y respaldarlo con medidas de seguridad adecuadas. Si necesitas ayuda profesional para cumplir con esta y otras obligaciones relativas a los derechos de los interesados y la protección de datos, contacta con Andorra Services a través de nuestro email.
