RAT (Ley 21.719): Cómo Crear y Mantener Actualizado el Registro de Actividades de Tratamiento
El RAT — Registro de Actividades de Tratamiento de Datos Personales — es la documentación central del programa de conformidad con la Ley N° 21.719. Es el documento que la Agencia de Protección de Datos Personales solicitará primero en una fiscalización, el que acredita accountability y el que hace posible el ejercicio efectivo de los derechos de los titulares.
Y es también el documento más descuidado: muchas organizaciones lo crean una sola vez, de forma incompleta, y nunca más lo actualizan.
Esta guía explica qué exige la Ley N° 21.719 en materia de registro de tratamientos, cómo estructurar el RAT correctamente y cómo mantenerlo como un documento vivo — no una pieza de archivo.
Lo que la Ley 21.719 establece sobre el registro de tratamientos
La Ley N° 21.719 consagra el principio de responsabilidad (accountability) y el principio de transparencia como pilares del programa de protección de datos. Ambos exigen que las organizaciones documenten y demuestren cómo tratan los datos personales de los titulares.
El Art. 14 ter establece la obligación del responsable del tratamiento de publicar o poner a disposición de los titulares información sobre sus prácticas de tratamiento. Complementando ese deber, el principio de responsabilidad —que permea toda la ley— exige que la organización sea capaz de demostrar en todo momento que sus tratamientos están documentados, tienen base de licitud definida y cuentan con medidas de seguridad proporcionales.
El RAT es el instrumento que materializa esa obligación: un registro estructurado de todas las actividades de tratamiento que realiza la organización, con los elementos necesarios para acreditar conformidad ante la Agencia, ante los titulares y ante terceros en procesos de due diligence.
Nota comparativa: El Record of Processing Activities del RGPD europeo (Art. 30) especifica en el propio texto de la ley los campos obligatorios para responsables y encargados. La Ley N° 21.719 adopta un enfoque de principios, lo que exige que la organización defina su propio formato — aunque siempre alineado con el estándar internacional del Art. 30 del RGPD, que es la referencia de facto para programas de conformidad robustos.
RAT del responsable vs. RAT del encargado
La Ley N° 21.719 distingue entre responsable del tratamiento —quien decide los fines y medios del tratamiento— y encargado del tratamiento —quien trata datos por cuenta del responsable. Ambos deben mantener registros, pero con contenidos distintos:
RAT del Responsable del tratamiento: El responsable decide la finalidad y los medios del tratamiento. Su RAT debe documentar el por qué y el para quién:
- Finalidad y base de licitud de cada tratamiento (solo el responsable decide esto)
- Categorías de datos y de titulares
- Destinatarios internos y externos
- Transferencias internacionales con garantías aplicables
- Plazos de retención y criterio de eliminación
- Medidas de seguridad implementadas
- Encargados del tratamiento contratados (proveedores que tratan datos en su nombre)
RAT del Encargado del tratamiento: El encargado trata datos en nombre del responsable, sin definir la finalidad. Su RAT documenta el qué y el cómo:
- Identificación del/los responsable(s) en cuyo nombre opera
- Categorías de tratamientos realizados para cada responsable
- Transferencias internacionales, cuando se realizan
- Medidas de seguridad técnicas y organizacionales
Importante: El encargado no necesita incluir la base de licitud en su RAT — eso es responsabilidad del responsable. El encargado sigue las instrucciones del responsable y documenta lo que ejecuta.
Muchas organizaciones son simultáneamente responsables (de datos de sus clientes y colaboradores) y encargadas (de datos que procesan en nombre de terceros, como una empresa de contabilidad que administra la nómina de otras empresas). En ese caso, deben mantener dos registros distintos.
Campos del RAT: qué documentar por actividad
Las mejores prácticas internacionales —en línea con el RGPD y los estándares de la ISO 29134— convergen en los siguientes campos esenciales por actividad de tratamiento:
Datos organizacionales (encabezado)
- Razón social, RUT y actividad principal
- Nombre, correo y teléfono del responsable del RAT (Delegado de Protección de Datos u otro designado)
- Fecha de elaboración y registro de todas las actualizaciones
Por actividad de tratamiento
| Campo | Orientación de completar |
|---|---|
| Nombre de la actividad | Describe el proceso de negocio: "Gestión de candidatos", "Atención al cliente vía chat", "Control de acceso por biometría" |
| Finalidad | La razón específica y concreta del tratamiento: "Selección de candidatos para puesto de trabajo", no "procesar datos de RR.HH." |
| Base de licitud | La hipótesis específica de la Ley N° 21.719, con justificación del razonamiento jurídico |
| Categorías de titulares | Clientes, colaboradores, visitantes, proveedores, candidatos, menores de edad |
| Datos personales tratados | Listar específicamente: nombre, RUT, correo, domicilio, datos bancarios, ubicación, historial de navegación |
| Datos sensibles | Separados y destacados: salud, biometría, origen étnico, convicción religiosa, orientación sexual, identidad de género, afiliación política/sindical |
| Fuente de los datos | Recolección directa del titular, terceros, sistemas públicos, integraciones |
| Compartimiento externo | Con quién: nombre de la organización o categoría + finalidad del compartimiento |
| Transferencia internacional | País de destino + garantía aplicable (estándar contractual, decisión de adecuación) |
| Plazo de retención | Ej.: "5 años tras el término del contrato", "mientras exista relación comercial + 5 años" |
| Criterio de eliminación | Cómo se eliminan los datos al término del plazo: eliminación definitiva, anonimización, descarte físico seguro |
| Medidas de seguridad | Controles aplicados: cifrado, control de acceso, copia de seguridad, seudonimización |
Cómo organizar el RAT: por actividad, no por dato
El enfoque correcto es organizar por actividad de tratamiento (proceso de negocio), no por categoría de dato.
¿Por qué? Porque la Ley N° 21.719 es orientada a finalidades. El mismo dato (RUT, por ejemplo) puede tratarse con bases de licitud distintas en actividades diferentes: en el registro de colaboradores (obligación legal) y en el programa de fidelidad (consentimiento o interés legítimo). Organizando por actividad, queda claro qué base de licitud y qué finalidad se aplica a cada uso.
Ejemplos de actividades de tratamiento por departamento:
| Área | Ejemplos de actividades |
|---|---|
| RR.HH. | Reclutamiento y selección, gestión de colaboradores, liquidación de sueldos, control de asistencia |
| Marketing | CRM y gestión de leads, envío de newsletters, campañas digitales, cookies y analítica |
| Finanzas | Cuentas por cobrar y pagar, emisión de boletas/facturas, gestión de proveedores |
| TI | Control de acceso a sistemas, logs de auditoría, soporte técnico |
| Operaciones | Videovigilancia, control de visitantes, gestión de contratos |
| Jurídico | Gestión de procesos judiciales, contratos con clientes |
| Atención | SAC, chatbot, canal del titular Ley 21.719 |
Por qué la ausencia del RAT es tan grave
La ausencia de un registro de actividades de tratamiento es una de las señales más claras de incumplimiento de los principios de responsabilidad y transparencia de la Ley N° 21.719. Ante la Agencia de Protección de Datos Personales —que comienza operaciones en diciembre de 2026 con plenas facultades fiscalizadoras y sancionatorias—, no contar con el RAT expone a la organización a:
- Imposibilidad de demostrar conformidad en una fiscalización, lo que convierte cualquier irregularidad en una infracción más grave
- Aplicación de sanciones sin las atenuantes que reconoce la Ley N° 21.719 a quienes acrediten un Modelo de Prevención de Infracciones (MPI) —y el RAT es un elemento central de cualquier MPI
- Incapacidad para responder solicitudes de titulares dentro del plazo legal (el RAT permite identificar en qué sistemas, con qué finalidad y con qué proveedores se tratan los datos de un titular determinado)
- Vulnerabilidad en procesos de due diligence (M&A, contratos con clientes grandes, licitaciones públicas)
La Ley N° 21.719 clasifica el incumplimiento del principio de responsabilidad como infracción grave —con sanciones de hasta 10.000 UTM. En caso de reincidencia de empresas que no califiquen como pyme, la multa puede alcanzar hasta el 2% de los ingresos anuales por ventas y servicios del infractor.
Cómo mantener el RAT vivo: 7 gatillos de actualización
El mayor error de las organizaciones es crear el RAT una vez y nunca más actualizarlo. Un RAT desactualizado puede ser peor que ninguno — demuestra negligencia y crea inconsistencias que pueden ser explotadas en fiscalizaciones.
El RAT debe actualizarse de inmediato cuando:
- Nuevo tratamiento iniciado: cualquier nuevo proceso, sistema o producto que involucre datos personales
- Nueva finalidad para datos existentes: usar datos ya recolectados para un propósito distinto
- Nuevo compartimiento: contratación de proveedor que accederá a datos personales
- Cambio de base de licitud: cuando la justificación jurídica de un tratamiento se modifica
- Cambio en el plazo de retención: revisión de políticas de eliminación
- Nueva transferencia internacional: uso de herramienta SaaS extranjera que procesa datos
- Incidente de seguridad: el RAT debe reflejar eventuales cambios de controles tras un incidente
Revisión completa: Al menos una vez al año, con independencia de gatillos específicos, realice una revisión completa del RAT con los responsables de cada área para validar que el documento refleja la realidad operacional actual.
Relación entre RAT, inventario y EIPD
Los tres instrumentos son complementarios y jerárquicos:
Mapeo de flujo de datos (Data Flow Mapping): El proceso de descubrimiento — entrevistas, cuestionarios, análisis de sistemas. Es la materia prima que alimenta el RAT. Revela detalles operacionales que no aparecen en documentos formales.
RAT: El registro formal y estructurado de las actividades de tratamiento, conforme a la Ley N° 21.719. Es el producto del mapeo. Es lo que la Agencia puede solicitar en una fiscalización.
EIPD (Evaluación de Impacto en la Protección de Datos): La evaluación de riesgo aplicada a actividades específicas de alto riesgo, identificadas a partir del RAT. Usa el RAT como insumo y va más allá: analiza probabilidad e impacto de riesgos y propone medidas de mitigación.
La secuencia correcta es: mapear → registrar en el RAT → identificar tratamientos de alto riesgo → elaborar EIPD para los de mayor riesgo.
El RAT como herramienta de gestión — más allá del compliance
Un RAT bien construido y actualizado no es solo un documento de compliance. Es una herramienta estratégica:
Para atender titulares: Cuando un cliente solicita acceso o eliminación de sus datos, el RAT es la referencia para identificar dónde están esos datos, en qué sistemas, con qué proveedores — y qué puede o no eliminarse (plazos legales de retención).
Para gestionar proveedores: El RAT revela qué proveedores acceden a datos personales y exige que todos tengan contratos con cláusulas de DPA (Data Processing Agreement — Acuerdo de Tratamiento de Datos). Sin el RAT, es imposible saber quiénes son todos los subencargados.
Para responder a incidentes: En caso de vulneración de datos, el RAT permite identificar rápidamente qué datos fueron afectados, de qué titulares y qué terceros deben ser notificados.
Para due diligence: Inversionistas, grandes clientes y procesos de fusión y adquisición exigen evidencias de madurez en privacidad. Un RAT robusto es la primera pieza que solicita un auditor externo de privacidad.
Herramientas para la gestión del RAT
| Tipo | Opciones | Indicado para |
|---|---|---|
| Planilla estructurada | Excel, Google Sheets (adaptada al modelo RGPD Art. 30) | Pymes con hasta 20-30 actividades |
| Plataforma global | OneTrust, TrustArc, DataGrail | Grandes organizaciones, múltiples legislaciones |
| GRC integrado | ServiceNow, MetricStream (con módulo de privacidad) | Grandes corporaciones con gestión integrada de riesgos |
| Plataforma regional | Confidata (Chile) | Organizaciones con operación en Chile y LATAM |
Para organizaciones con más de 30 actividades de tratamiento, múltiples departamentos o compartimiento intenso de datos con terceros, una plataforma dedicada reduce drásticamente el esfuerzo de mantenimiento y el riesgo de inconsistencias.
Lista de verificación del RAT
- ¿Todas las actividades de tratamiento están mapeadas (incluidas áreas de soporte: RR.HH., TI, Finanzas)?
- ¿Cada actividad tiene finalidad específica (no genérica)?
- ¿Cada actividad tiene base de licitud documentada con razonamiento jurídico?
- ¿Los datos sensibles están identificados separadamente con base de licitud específica?
- ¿Todos los destinatarios externos están listados (incluyendo herramientas SaaS)?
- ¿Las transferencias internacionales están identificadas con garantías aplicables?
- ¿Los plazos de retención están definidos por actividad?
- ¿Las medidas de seguridad están descritas?
- ¿El RAT fue actualizado en los últimos 12 meses?
- ¿Hay historial de actualizaciones con fecha y responsable?
- ¿El RAT está disponible para presentación inmediata a la Agencia de Protección de Datos Personales?
Conclusión
El RAT no es una tarea que se completa — es un proceso continuo. La organización que trata sus datos personales como activos gestionados (con finalidad definida, base de licitud clara, plazo de retención y responsable identificado) está no solo en conformidad con la Ley N° 21.719, sino en posición de ventaja competitiva en un mercado que valora cada vez más la confianza digital.
Comience por el mapeo de las actividades más críticas (RR.HH., CRM, marketing) y expanda progresivamente. Lo importante es que el RAT refleje la realidad de la organización — no lo que nos gustaría que fuera.
Confidata automatiza la construcción y el mantenimiento del RAT con assessments guiados por área, generación automática del registro, alertas de revisión e integración con el módulo de gestión de derechos de los titulares.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.