El 25 de maig de 2018 va entrar en vigor el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (RGPD) i pel qual es deroga la Directiva 95/46/CE. Així mateix, el 6 de desembre de 2018 va entrar en vigor a Espanya la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), que va derogar (amb excepció dels articles 23 i 24) la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.

El RGPD va introduir, entre d’altres novetats, el registre d'activitats de tractament (RAT). Aquest inventari registra tots els tractaments de dades personals duites a terme pels responsables i encarregats de tractament. El RAT reemplaçà l'obligació d'inscriure els fitxers en el Registre General de Protecció de Dades en l'Agència Espanyola de Protecció de Dades, com es requeria en la Llei orgànica 15/1999. El RAT, en compliment amb l'article 30 del RGPD, ha d'incloure la informació següent:

1. Nom i dades de contacte del responsable i, si escau, del corresponsable, del representant del responsable, i del delegat de protecció de dades.
2. Les finalitats del tractament.
3. Una descripció de les categories dels interessats i de les categories de dades personals.
4. Les categories de destinataris als quals es comunicaren o es comuniquen les dades personals, incloent els destinataris a altres països o organitzacions internacionals.
5. Si escau, les transferències de dades personals a un altre país o una organització internacional, inclosa la identificació d'aquest país o organització internacional i, en el cas de les transferències indicades en l'article 49, apartat 1, paràgraf segon, la documentació de garanties adequades;
6. Quan sigui possible, els terminis previstos per suprimir les diferents categories de dades.
7. Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

D'acord amb l'article 31 de la LOPDGDD, les organitzacions públiques han de fer públic el seu inventari de tractaments i aquest ha de ser accessible per mitjans electrònics. A aquest efecte, la Direcció General del Servei de Salut de les Illes Balears ha publicat el seu Registre d'activitats de tractament en la secció «Protecció de dades personals» del portal web del Servei de Salut.

El registre d'activitats de tractament de les gerències assistencials del Servei de Salut també serà inclòs en la secció de «Protecció de dades personals».