Data Mapping + RAT (Registro de Actividades de Tratamiento)
¿Qué es?
El Registro de Actividades de Tratamiento (RAT) es el documento donde se listan todos los tratamientos de datos que realiza tu organización. Es el Art. 30 GDPR.
Es LA base de todo compliance
Si no tienes un RAT, no sabes qué datos tienes. Si no sabes qué datos tienes, no puedes protegerlos.
La AEPD siempre pide el RAT en primer lugar cuando investiga.
Método práctico para crear tu RAT
Paso 1: Identifica tus tratamientos
Cada “tratamiento” es una actividad con una finalidad distinta. En una empresa de salud típica:
| # | Tratamiento | Finalidad | Base legal |
|---|---|---|---|
| 1 | Historia clínica | Asistencia sanitaria | Art. 9.2(h) GDPR |
| 2 | Facturación pacientes | Cobro servicios | Art. 6.1(c) + LOPDGDD |
| 3 | Gestión de personal | RRHH | Art. 6.1(b) + 9.2(b) |
| 4 | Investigación clínica | Estudio X | Art. 9.2(j) + Art. 89 |
| 5 | Videovigilancia | Seguridad | Art. 6.1(f) interés legítimo |
| 6 | Newsletter | Marketing consentimiento | Art. 6.1(a) |
Paso 2: Por cada tratamiento, documenta
| Campo | Ejemplo (Historia Clínica) |
|---|---|
| Nombre | Historia Clínica Electrónica |
| Responsable | Javier Pérez S.L. |
| Finalidad | Asistencia sanitaria integral |
| Base legal | Art. 9.2(h) GDPR + Art. 6.1(e) |
| Categorías interesados | Pacientes |
| Categorías datos | Identificativos, salud, genéticos (si aplica) |
| Destinatarios | Mutuas, otros centros (con consentimiento), AAPP (obligación legal) |
| Transferencias internacionales | No |
| Plazo conservación | Mínimo 5 años desde alta (Legislación autonómica) |
| Medidas seguridad | Cifrado, RBAC, logs auditoría, 2FA |
Paso 3: Mantenlo vivo
- ✅ Revísalo cada 6 meses
- ✅ Actualízalo cuando añadas un nuevo tratamiento
- ✅ Cada vez que cambies de proveedor
Herramientas para el RAT
| Herramienta | Tipo | Precio |
|---|---|---|
| Excel/Sheets | Manual | Gratis |
| RAT AEPD | Plantilla oficial de la AEPD | Gratis |
| OneTrust | Software compliance | $$$ |
| DataGrail | Software automatizado | $$ |
| Simple GDPR | Herramienta online | € |
🔑 Truco: Empieza con Excel. Cuando tengas >20 tratamientos o >5 empleados tocando datos, plantéate una herramienta.
Plantilla RAT (mínimo viable)
Tratamiento: [nombre]
Responsable: [tu empresa]
DPO: [nombre/email]
Finalidad: [una frase]
Base legal: [Art. XX GDPR / LOPDGDD]
Interesados: [pacientes, empleados, etc.]
Datos:
- [tipo de dato]
- [otro tipo]
Destinatarios:
- [quién recibe los datos]
- [con qué base]
Plazos conservación: [X años]
Medidas seguridad: [cifrado, accesos, etc.]
Transferencias: [sí/no, dónde, garantías]La Data Map
Además del RAT, un Data Mapping visual te ayuda a entender los flujos:
PACIENTE
│ da sus datos
▼
CLÍNICA (Responsable)
│
├── HCE (servidor propio)
├── Facturación → ASESORÍA FISCAL (Encargado)
├── Laboratorio → LAB EXTERNO (Encargado)
├── Recetas → SERGAS (Responsable autónomo)
└── Investigación → UNIVERSIDAD (Corresponsable)
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 30
- compliance-roadmap
- eipd
- contratos-encargados