Registro de Actividades de Tratamiento (RAT): por qué y cómo hacerlo
El RAT exigido por la Ley 21.719 es la base del cumplimiento en protección de datos en Chile. No es solo un requisito legal: permite demostrar responsabilidad proactiva y gobernar datos.
La base del cumplimiento en protección de datos
El Registro de Actividades de Tratamiento (RAT), exigido por la Ley 21.719, es la base del cumplimiento en protección de datos en Chile.
No es solo un requisito legal: permite demostrar responsabilidad proactiva, ordenar procesos y gestionar riesgos reales.
Cómo hacerlo correctamente
1. Mapea procesos reales, no solo sistemas
El RAT documenta tratamientos de datos, no aplicaciones. Un proceso de “onboarding de empleados” puede involucrar 5 sistemas distintos — pero es un solo tratamiento con una finalidad clara.
Empieza por los procesos de negocio:
- ¿Qué datos recopilamos?
- ¿Para qué los usamos?
- ¿Quién los procesa?
- ¿Dónde se almacenan?
- ¿Con quién se comparten?
2. Define cada tratamiento por su finalidad
Cada entrada del RAT debe tener una finalidad específica y legítima:
- Gestión de recursos humanos
- Facturación y cobranza
- Marketing directo
- Monitoreo de seguridad
- Atención de clientes
No mezcles finalidades distintas en una sola entrada.
3. Identifica datos sensibles y críticos
No todos los datos personales tienen el mismo nivel de riesgo:
- Datos sensibles: salud, biométricos, afiliación política, orientación sexual
- Datos financieros: cuentas bancarias, historial crediticio
- Datos de menores: protección reforzada
- Datos de contacto: menor riesgo pero mayor volumen
La clasificación determina el nivel de controles requeridos.
4. Documenta lo esencial
Para cada tratamiento, registra:
| Campo | Contenido |
|---|---|
| Responsable | Quién decide sobre el tratamiento |
| Finalidad | Para qué se tratan los datos |
| Categorías de datos | Qué datos personales se procesan |
| Base de licitud | Consentimiento, contrato, interés legítimo, etc. |
| Destinatarios | Con quién se comparten los datos |
| Transferencias | Si salen del país, a dónde y con qué garantías |
| Plazos de conservación | Cuánto tiempo se mantienen |
| Medidas de seguridad | Controles técnicos y organizativos aplicados |
5. Mantén el RAT actualizado y vivo
Un RAT desactualizado es peor que no tener RAT — genera una falsa sensación de cumplimiento.
Triggers de actualización:
- Nuevo proceso que trata datos personales
- Cambio de proveedor o encargado de tratamiento
- Modificación de la finalidad del tratamiento
- Nuevo tipo de dato recopilado
- Cambio regulatorio
Cumplir es el mínimo. Gobernar es la diferencia
El RAT no es un checklist para el regulador. Es una herramienta de gobernanza que permite:
- Identificar riesgos de privacidad antes de que se materialicen
- Responder a ejercicios de derechos de los titulares en plazo
- Alimentar evaluaciones de impacto (EIPD) con datos reales
- Demostrar accountability ante auditorías o incidentes
- Tomar decisiones informadas sobre nuevos proyectos que involucren datos personales
Referencias
- Ley N° 21.719, Protección de Datos Personales (Chile)
- Reglamento General de Protección de Datos (RGPD), art. 30
- Guías de Accountability — European Data Protection Board (EDPB)