Registro de actividades de tratamiento (RAT) para despachos de abogados
Mayo 2026 · Lectura: ~13 min
Cuando la AEPD abre una actuación previa sobre un despacho de abogados, el primer documento que solicita no es la política de privacidad ni los contratos con clientes: es el Registro de Actividades de Tratamiento. Es la radiografía de cómo el despacho maneja datos personales, y su ausencia o su redacción genérica delatan de inmediato que el resto del cumplimiento tampoco está formalizado.
El problema es que muchos despachos siguen confundiendo el RAT con el viejo registro de ficheros que se notificaba a la Agencia hasta 2018. No tienen nada que ver. El RAT no se envía a nadie: es un inventario interno y vivo de todas las finalidades por las que el despacho trata datos, regulado por el Art. 30 del RGPD. Esta guía explica, paso a paso, cómo construirlo y mantenerlo en un despacho real.
El RAT es una pieza del cumplimiento global; si quieres el mapa completo, conviene leer también el checklist RGPD para despachos pequeños y, para el principio que ordena toda la materia, el Artículo 5 RGPD explicado con ejemplos.
Qué es el RAT y por qué obliga a (casi) todos los despachos
El Registro de Actividades de Tratamiento es el documento donde el responsable inventaria, tratamiento por tratamiento, qué datos personales maneja, con qué finalidad, sobre qué base jurídica, a quién se comunican y cuánto se conservan. Lo regula el Art. 30 RGPD y lo complementa el Art. 31 de la Ley Orgánica 3/2018 (LOPDGDD). No es un trámite externo: es la herramienta con la que el despacho demuestra el principio de responsabilidad proactiva del Art. 5.2 RGPD.
El Art. 30.5 RGPD prevé una exención para organizaciones de menos de 250 empleados, pero está vaciada de contenido para los despachos. La exención no opera si el tratamiento puede entrañar un riesgo para los derechos de los interesados, no es ocasional o incluye categorías especiales de datos. Un despacho trata de forma continuada datos de salud, datos penales e información sensible de procedimientos: las tres condiciones que reactivan la obligación. La conclusión práctica es que incluso un abogado que ejerce en solitario debe llevar RAT.
No confundir con la inscripción de ficheros anterior a 2018: aquello era una notificación a la AEPD que figuraba en un registro público. El RAT es lo contrario —interno, dinámico y bajo la sola responsabilidad del despacho—, y solo se entrega a la Agencia si esta lo requiere en una inspección.
Los tratamientos típicos de un despacho
Casi cualquier despacho puede reconducir su actividad a este conjunto de tratamientos. Úsalo como esqueleto del RAT y añade los específicos de tu práctica (extranjería, concursal, penal económico) con su propia ficha. Cada fila es una ficha distinta, con su base jurídica y su plazo de conservación propios.
| Tratamiento | Base jurídica | Categorías de datos | Conservación |
|---|---|---|---|
| Gestión de clientes y expedientes | Ejecución de contrato (Art. 6.1.b) y obligación legal | Identificativos, de contacto, económicos y, con frecuencia, categorías especiales (salud, datos penales). | Durante la relación y mientras quepan responsabilidades: plazos de prescripción civil y deber deontológico de custodia. |
| Tramitación de procedimientos judiciales | Obligación legal e interés legítimo en el ejercicio de la defensa | Datos de cliente, contraparte, testigos y peritos; categorías especiales presentes en la prueba documental. | Conforme a los plazos procesales y de conservación del expediente. |
| Facturación y contabilidad | Obligación legal (Art. 6.1.c) | Identificativos y económicos. | Mínimo 6 años (Código de Comercio) y 4 años a efectos tributarios. |
| Gestión laboral del personal propio | Obligación legal y ejecución del contrato laboral | Identificativos, económicos y de salud (bajas, prevención de riesgos). | Plazos laborales y de la Seguridad Social. |
| Captación y marketing | Consentimiento o interés legítimo (Art. 6.1.a / 6.1.f) | Identificativos y de contacto. | Hasta que el interesado revoque o se oponga. |
| Videovigilancia (si hay cámaras) | Interés legítimo en la seguridad | Imagen. | Máximo 30 días salvo que registren una incidencia. |
La fila que más problemas genera es la primera: la gestión de expedientes mezcla finalidades (relación con el cliente, defensa en juicio, conservación deontológica) y casi siempre incluye categorías especiales del Art. 9 RGPD. Marcarlas explícitamente en la ficha es lo que dispara las medidas reforzadas y, con frecuencia, la obligación de una Evaluación de Impacto.
Cómo construir el RAT en siete pasos
Este es el flujo recomendado para un despacho que parte de cero o que tiene un RAT genérico descargado de una plantilla. Cada paso deja una decisión documentada y verificable.
Inventaria todos los tratamientos del despacho
Un tratamiento no es un fichero ni un programa: es cada finalidad diferenciada por la que el despacho usa datos personales. Antes de redactar nada, recorre la actividad real del despacho y enuméralos. Un despacho pequeño tiene típicamente entre cinco y ocho: gestión de clientes y expedientes, tramitación de procedimientos judiciales, facturación y contabilidad, gestión laboral del personal propio, captación y marketing, y videovigilancia si hay cámaras. No agrupes todo en «clientes»: la gestión del expediente y el envío de comunicaciones comerciales tienen finalidad y base jurídica distintas y van en fichas separadas.
Abre una ficha por tratamiento con los campos del Art. 30.1
Cada tratamiento se documenta en una ficha con el contenido mínimo que exige el Art. 30.1 RGPD: identidad y contacto del responsable (y del DPD si lo hay), fines del tratamiento, descripción de las categorías de interesados y de datos, categorías de destinatarios, transferencias internacionales si las hay, plazos previstos de supresión y una descripción general de las medidas de seguridad. Faltar alguno de estos campos es el incumplimiento que la AEPD detecta más rápido, porque la estructura del registro es tasada.
Determina la base jurídica de cada tratamiento por separado
El error recurrente es etiquetar toda la actividad del despacho como «ejecución del contrato de servicios jurídicos». No lo es. La gestión del expediente del cliente se ampara en el contrato (Art. 6.1.b RGPD); la conservación fiscal de las facturas, en una obligación legal (Art. 6.1.c); el envío de newsletter, en el consentimiento o el interés legítimo (Art. 6.1.a o f). Cada ficha del RAT debe declarar su base concreta, porque condiciona los plazos de conservación y la forma de atender los derechos.
Clasifica las categorías de datos y marca las especiales del Art. 9
Describe qué datos trata cada finalidad: identificativos, de contacto, económicos, de salud, judiciales. En un despacho es habitual tratar categorías especiales del Art. 9 RGPD (salud en una reclamación de incapacidad, datos penales en una defensa, ideología en un despido nulo). Identificarlas en el RAT es lo que activa la obligación de medidas reforzadas y, muy probablemente, una Evaluación de Impacto (EIPD). Es también lo que impide acogerse a la exención de llevar registro.
Documenta destinatarios, encargados y transferencias
Por cada tratamiento, anota a quién se comunican los datos: juzgados y administraciones (cesión por obligación legal), procuradores, peritos, asesoría externa, gestoría laboral, proveedor de software jurídico en la nube. Los proveedores que tratan datos por cuenta del despacho son encargados del tratamiento y exigen un contrato del Art. 28 RGPD; el RAT debe reflejar su existencia. Si algún proveedor aloja datos fuera del EEE, declara la transferencia internacional y su garantía.
Fija plazos de conservación y medidas de seguridad
Para cada tratamiento define cuánto se conservan los datos y por qué: el expediente del cliente se guarda durante la relación y mientras puedan derivarse responsabilidades —los plazos de prescripción civil y la deontología profesional son la referencia—; las facturas, los plazos mercantil y tributario; los datos laborales, los de la Seguridad Social. Añade una descripción general de las medidas técnicas y organizativas (control de acceso, cifrado, copias de seguridad, anonimización antes de usos externos).
Aprueba, fecha y mantén vivo el RAT
El RAT no se remite a la AEPD: es un documento interno que el responsable conserva y pone a disposición de la autoridad si lo requiere (Art. 30.4 RGPD). Apruébalo formalmente, féchalo y asígnale un responsable de mantenimiento. A partir de ahí es un documento vivo: cada vez que el despacho incorpore un tratamiento nuevo —una herramienta de IA, un sistema de firma electrónica, una campaña de captación— hay que abrir o revisar su ficha antes de empezar a tratar.
Errores frecuentes en el RAT de un despacho
- 1Creer que el despacho está exento por tener menos de 250 empleados: la excepción decae porque se tratan categorías especiales de forma continuada. La inmensa mayoría de despachos está obligada.
- 2Etiquetar todos los tratamientos como «ejecución del contrato de servicios jurídicos». La facturación, el marketing o la gestión laboral tienen bases jurídicas distintas y plazos distintos.
- 3Descargar una plantilla genérica y no adaptarla. Un RAT que no refleja los proveedores reales (software en la nube, gestoría, perito habitual) no acredita nada ante una inspección.
- 4Olvidar declarar a los encargados del tratamiento y sus contratos del Art. 28. El proveedor de software jurídico que aloja los expedientes es un encargado y debe figurar en el RAT.
- 5No marcar las categorías especiales del Art. 9 presentes en los expedientes. Esa omisión oculta la necesidad de medidas reforzadas y, a menudo, de una Evaluación de Impacto.
- 6Redactarlo una vez y archivarlo. El RAT es un documento vivo: cada herramienta nueva —especialmente las de IA— exige revisar o abrir su ficha antes de empezar a usarla.
Preguntas frecuentes
¿Está obligado mi despacho a llevar un RAT aunque sea un autónomo o un despacho muy pequeño?
Sí. La exención del Art. 30.5 RGPD para organizaciones de menos de 250 empleados no se aplica cuando el tratamiento puede entrañar un riesgo para los derechos de los interesados, no es ocasional o incluye categorías especiales de datos. Un despacho de abogados trata habitualmente datos de salud, datos penales o información sensible de procedimientos de forma continuada, de modo que la excepción decae y el RAT es obligatorio incluso para un abogado que ejerce solo.
¿Hay que enviar el RAT a la AEPD o inscribirlo en algún registro?
No. El RAT es un documento interno que el despacho elabora, aprueba y conserva. No se remite a la Agencia Española de Protección de Datos ni se inscribe en ningún registro público; solo debe ponerse a su disposición si lo requiere en una actuación inspectora (Art. 30.4 RGPD). La antigua inscripción de ficheros en el Registro General de Protección de Datos desapareció con la aplicación del RGPD en 2018.
¿Me sirve la herramienta Facilita RGPD de la AEPD para elaborar el RAT del despacho?
Solo de forma limitada. Facilita_RGPD está diseñada para tratamientos de escaso riesgo y advierte expresamente de que no es válida cuando se tratan categorías especiales de datos o el tratamiento puede entrañar un riesgo elevado. Como un despacho trata de forma habitual datos de salud o penales en los expedientes, la herramienta básica suele quedarse corta y el RAT debe elaborarse de forma específica, idealmente con asesoramiento.
¿Qué diferencia hay entre el RAT y el antiguo registro de ficheros de la AEPD?
El registro de ficheros era una inscripción externa: se notificaba cada fichero a la AEPD y figuraba en un registro público. El RAT es lo contrario: un inventario interno y dinámico, bajo responsabilidad del propio despacho, que documenta finalidades y no «ficheros», y que no se notifica a nadie salvo requerimiento. El cambio refleja el principio de responsabilidad proactiva del Art. 5.2 RGPD: ya no se pide permiso, se documenta y se demuestra.
¿Cada cuánto hay que actualizar el RAT?
El RAT no tiene una periodicidad fija de revisión, pero debe mantenerse actualizado de forma permanente: cualquier cambio relevante —un nuevo proveedor de software en la nube, una herramienta de IA, una campaña de captación, una nueva área de práctica— obliga a abrir o modificar la ficha correspondiente antes de iniciar ese tratamiento. En la práctica es recomendable una revisión completa al menos una vez al año.
¿Qué ocurre si la AEPD inspecciona el despacho y no tengo RAT?
La ausencia o la insuficiencia del Registro de Actividades de Tratamiento es una infracción del Art. 30 RGPD, sancionable conforme al Art. 83.4 RGPD con multas de hasta 10 millones de euros o el 2 % del volumen de negocio. En despachos pequeños las cuantías reales son muy inferiores, pero no tener RAT agrava el resto del expediente: es el primer documento que pide un inspector y su ausencia evidencia que el resto del cumplimiento tampoco está formalizado.
Conclusión
El RAT no es un formulario que se rellena una tarde y se olvida: es el inventario que ordena todo el cumplimiento del despacho. Bien construido, responde de un vistazo a las preguntas que hace un inspector —qué datos, para qué, con qué base, a quién, cuánto tiempo— y obliga a tomar decisiones que de otro modo quedarían implícitas: qué proveedores son encargados, qué expedientes contienen categorías especiales, cuándo procede una Evaluación de Impacto.
La prueba de que un RAT es real y no cosmético es que cada ficha tiene consecuencias operativas. Si declaras que conservas el expediente solo el tiempo necesario, tienes que poder suprimirlo o anonimizarlo cuando ese plazo vence; si declaras que minimizas los datos antes de comunicarlos a un perito, esa supresión tiene que estar ejecutada de verdad, no tapada con un recuadro. El documento y la práctica deben coincidir.
Para seguir: el checklist RGPD completo para despachos, la guía sobre qué redactar y qué ocultar en escritos judiciales y la página sectorial de anonimización para despachos y abogados.