Lo esencial en 30 segundos
- El RAT inventaría todas las actividades en que tratas datos personales.
- Es el punto de partida del cumplimiento: sin él no puedes asignar bases de licitud ni evaluar riesgos.
- Es una pieza central de la responsabilidad proactiva y de lo primero que pide una fiscalización.
- Debe tener, como mínimo, 9 columnas (las ves más abajo).
- Lo difícil no es crearlo, es mantenerlo vivo: alguien debe actualizarlo cuando cambia un proceso.
Si solo pudieras hacer una cosa para empezar a cumplir la Ley 21.719, sería esta: saber qué datos tratas. No puedes proteger —ni declarar ante la Agencia— lo que no sabes que tienes. Ese inventario, ordenado y mantenido, es el Registro de Actividades de Tratamiento (RAT). Forma parte del checklist de cumplimiento (frente nº 2) y es la base sobre la que se apoya todo lo demás.
Qué es el RAT
El Registro de Actividades de Tratamiento es el documento que lista, una por una, las actividades en que tu organización trata datos personales —desde la nómina de trabajadores hasta el formulario de contacto de la web— y describe, para cada una, qué datos involucra, para qué, con qué base legal, con quién se comparten y cómo se protegen. Es, en la práctica, el mapa de tus datos.
¿Es obligatorio el RAT?
El registro de las actividades de tratamiento es una pieza central de la responsabilidad proactiva que exige la Ley 21.719: el principio de que no basta con cumplir, hay que poder demostrarlo. Mantener un RAT actualizado es la forma de acreditar ante la Agencia qué datos se tratan y bajo qué condiciones — y suele ser uno de los primeros documentos que se solicitan en una fiscalización. En otras palabras: aunque no lo pienses como “un trámite obligatorio”, sin RAT no hay cumplimiento demostrable.
Qué columnas debe tener (plantilla de campos)
Un RAT útil tiene, como mínimo, estas columnas. Puedes partir en una planilla con esta estructura:
| Campo | Qué registrar |
|---|---|
| Actividad / proceso | Nombre del tratamiento (ej. “Gestión de nómina”, “Marketing por email”). |
| Finalidad | Para qué se usan los datos en esa actividad. |
| Categorías de datos | Identificación, contacto, financieros, salud, biométricos… y si hay datos sensibles. |
| Categorías de titulares | Clientes, trabajadores, postulantes, proveedores, usuarios web. |
| Base de licitud | Qué habilita el tratamiento (consentimiento, contrato, obligación legal, etc.). |
| Destinatarios / encargados | Quién accede: áreas internas y terceros (proveedores, nube). |
| Transferencias internacionales | Si los datos salen de Chile y con qué garantía. |
| Plazo de conservación | Cuánto tiempo se guardan y cuándo se eliminan. |
| Medidas de seguridad | Controles aplicados (accesos, cifrado, seudonimización). |
Cómo construirlo paso a paso
- Identifica las áreas que tratan datos: RR. HH., ventas, marketing, finanzas, atención, TI. Entrevista a cada una.
- Lista las actividades de cada área (una fila por actividad). No busques perfección: busca cobertura.
- Completa las 9 columnas para cada actividad. Donde no sepas la base de licitud, márcala como pendiente y resuélvela después.
- Marca los datos sensibles y las transferencias internacionales: son los de mayor riesgo y los que más atención piden.
- Detecta los huecos: tratamientos sin base, sin plazo de conservación o con terceros sin contrato (DPA). Esa es tu lista de remediación.
- Asigna un responsable de mantener el RAT y una frecuencia de revisión.
Errores comunes
- Hacerlo una vez y archivarlo. Un RAT desactualizado es casi tan malo como no tenerlo.
- Olvidar los tratamientos “invisibles”: cámaras de seguridad, cookies del sitio, planillas en computadores personales, formularios antiguos.
- Confundir finalidad con base de licitud. La finalidad es el “para qué”; la base es el “qué lo permite legalmente”.
- No registrar a los encargados (proveedores que tratan datos por ti): siguen siendo tu responsabilidad.
Cómo mantenerlo vivo
El RAT no es un entregable de una sola vez: cada vez que se crea un proceso, se contrata un proveedor o se lanza una campaña, debería actualizarse. Lo más sano es integrarlo a la operación —que abrir un nuevo tratamiento incluya “actualizar el RAT” como paso— y revisarlo de forma periódica. En organizaciones con muchos tratamientos, una herramienta especializada ayuda a sostener la trazabilidad y a generar evidencia para la Agencia.
¿Quieres tu RAT levantado y sin huecos?
Te ayudamos a construir el Registro de Actividades de Tratamiento y a cerrar las brechas que revele. Empieza con un diagnóstico de 30 minutos, sin compromiso.
Solicitar diagnósticoPreguntas frecuentes
¿Qué es el Registro de Actividades de Tratamiento (RAT)?
Es el documento que inventaría todas las actividades en que la organización trata datos personales: qué datos, con qué finalidad, sobre qué base de licitud, con quién se comparten y con qué medidas de seguridad. Es la base sobre la que se apoya todo el programa de cumplimiento de la Ley 21.719.
¿Es obligatorio el RAT?
El registro de las actividades de tratamiento es una pieza central de la responsabilidad proactiva que exige la ley. Mantenerlo actualizado es la forma de demostrar ante la Agencia qué datos se tratan y bajo qué condiciones, y suele ser uno de los primeros documentos que se solicitan en una fiscalización.
¿Qué columnas debe tener un RAT?
Como mínimo: actividad o proceso, finalidad, categorías de datos, categorías de titulares, base de licitud, destinatarios y encargados, transferencias internacionales, plazo de conservación y medidas de seguridad.
¿Se puede hacer el RAT en una planilla Excel?
Sí, una planilla sirve para empezar y para organizaciones pequeñas. El problema no es el formato sino mantenerlo vivo: debe actualizarse cuando cambia un proceso. En organizaciones con muchos tratamientos, una herramienta especializada facilita la trazabilidad y la evidencia.