Versionado de actividades de tratamiento: por qué y cómo rastrear los cambios
Un registro de actividades de tratamiento (RAT) que no cambia es un registro que no refleja la realidad. Los negocios evolucionan: se lanzan nuevos productos, se cambian proveedores, se amplían finalidades, se recopilan datos de nuevas formas. Cada uno de esos cambios debe capturarse en el registro — y, más que capturarse, debe ser trazable en el tiempo.
El versionado de actividades de tratamiento es la práctica que transforma el RAT de un snapshot estático en un registro histórico auditable. Es lo que permite responder, con evidencia, a la pregunta que la APDP puede formular en cualquier momento: "¿Qué datos estaban tratando en marzo del año pasado, con qué base legal y para qué finalidad?"
Por qué el versionado es una obligación, no una conveniencia
El deber de responsabilidad proactiva exige demostrabilidad
La Ley 21.719 introduce el concepto de responsabilidad proactiva como principio central: el responsable del tratamiento no solo debe cumplir con la ley — debe poder demostrar que la cumple. Esto incluye demostrar que los cambios en las actividades de tratamiento fueron identificados, evaluados y documentados conforme ocurrieron.
Un RAT que fue creado una vez y nunca más actualizado no satisface este deber. La responsabilidad proactiva implica continuidad y actualización — no un esfuerzo inicial seguido de inercia.
La APDP puede preguntar sobre el pasado
Cuando la APDP inicie una fiscalización o cuando un incidente de seguridad desencadene una investigación, las preguntas no se limitarán al estado actual: "¿Cuándo comenzó esta actividad?", "¿La base legal era la misma cuando el dato fue recopilado?", "¿El titular fue informado sobre esta finalidad en su momento?". Sin versionado, esas preguntas no tienen respuesta documentada.
Los reclamos de titulares dependen de la evidencia histórica
La Ley 21.719 otorga a los titulares el derecho de reclamar daños derivados del incumplimiento. En un reclamo, la pregunta central puede ser lo que se estaba haciendo con los datos en la fecha específica de la recopilación — no lo que se hace hoy. Sin historial de versiones, esa evidencia sencillamente no existe.
El RAT como instrumento de cumplimiento continuo
El RAT es el instrumento que materializa el deber de responsabilidad proactiva. Es la base sobre la que se sustenta toda la evidencia de cumplimiento: registra qué datos se tratan, con qué finalidad, bajo qué base legal y con qué medidas de seguridad. Sin un RAT actualizado, los demás elementos del programa de cumplimiento quedan sin respaldo documental.
Qué constituye un "cambio" que exige nueva versión
No toda modificación en los metadatos de una actividad de tratamiento exige una nueva versión formal. El criterio orientador es: ¿el cambio afecta lo que el titular fue informado o lo que la ley exige que sea informado? Si es así, exige versión.
Cambios que obligatoriamente generan nueva versión
1. Modificación de la finalidad
La finalidad es el elemento más central de cualquier actividad de tratamiento — y también el más protegido por la Ley 21.719. El principio de finalidad prohíbe el tratamiento para fines incompatibles con los originalmente informados al titular. Cualquier expansión o modificación de finalidad exige:
- Evaluación de compatibilidad con la finalidad original
- Nuevo aviso al titular (cuando sea necesario)
- Posible nuevo consentimiento (si la base original era el consentimiento)
- Registro del cambio con justificación legal
2. Cambio de base legal
Cambiar la base legal de una actividad — por ejemplo, de consentimiento a interés legítimo — tiene implicancias significativas. Modifica los derechos disponibles para el titular (quien tuvo sus datos tratados por consentimiento puede revocarlo; quien los tuvo tratados por interés legítimo puede oponerse, pero por criterios diferentes). El cambio debe documentarse con justificación y fecha de vigencia.
3. Incorporación de nuevas categorías de datos
Si una actividad que trataba solo nombre y correo electrónico pasa a tratar también datos de geolocalización o datos financieros, eso representa una ampliación del alcance que debe reflejarse en el RAT — y que puede requerir actualizar el aviso de privacidad y, si incluye datos sensibles, puede activar la obligación de EIPD.
4. Cambio de encargado o destinatario
Cambiar el proveedor de CRM, contratar un nuevo procesador de pagos, comenzar a compartir datos con un nuevo socio — cada uno de esos cambios modifica quién tiene acceso a los datos de los titulares y debe registrarse. La APDP puede preguntar, en caso de incidente, qué encargado tenía acceso a los datos en el momento específico de la vulneración.
5. Cambio en el plazo de conservación
Si la organización decide conservar los datos por un período diferente al originalmente definido — ya sea por una nueva interpretación legal, un cambio de proceso o un nuevo sistema — ese cambio debe documentarse con la justificación.
6. Cambio en transferencias internacionales
El inicio, la modificación o el cese de transferencias de datos fuera de Chile exige documentación específica conforme a los mecanismos de la Ley 21.719. Cada cambio debe versionarse.
Cambios que no exigen nueva versión formal
- Corrección de errores tipográficos o de formato
- Actualización del responsable interno sin impacto en las prácticas
- Ajuste de nomenclatura sin alteración de contenido
- Cambios en sistemas técnicos que no afectan los datos tratados, la finalidad ni la base legal
Cómo estructurar el versionado
Modelo de versionado temporal
Cada versión de una actividad de tratamiento debe ser un snapshot completo de las características de la actividad en determinado período — no solo un registro de las diferencias. Esto garantiza que sea posible reconstituir exactamente cómo estaba configurada la actividad en cualquier fecha pasada.
Datos de cada versión:
| Campo | Descripción |
|---|---|
| Identificador de versión | Secuencial (v1, v2, v3) o basado en fecha |
| Fecha de vigencia (inicio) | Cuándo esta versión comenzó a regir |
| Fecha de vigencia (fin) | Cuándo fue reemplazada por la versión siguiente (nulo si es la actual) |
| Tipo de cambio | Nueva actividad / Actualización / Reconfirmación sin cambio |
| Motivo del cambio | Descripción libre de qué cambió y por qué |
| Responsable del registro | Usuario que registró la versión |
| Snapshot completo | Estado completo de todos los campos de la actividad en esa versión |
Tipos de versión
Nueva actividad: cuando una actividad de tratamiento se identifica y registra por primera vez. Genera la versión 1 (v1) de la actividad.
Actualización: cuando alguna característica relevante de la actividad cambia (finalidad, base legal, datos tratados, encargados, etc.). Genera la siguiente versión numerada.
Reconfirmación: revisión periódica en que el responsable confirma que la actividad continúa igual a lo registrado. No genera nueva versión del contenido, pero registra la fecha de la revisión y el responsable — demostrando que el dato fue verificado y no simplemente ignorado.
Ciclos de revisión: cuándo revisar
El versionado reactivo (cuando ocurre un cambio) debe complementarse con un ciclo de revisión proactiva.
Revisión continua (event-driven)
Cualquier evento que potencialmente afecte una actividad de tratamiento debe activar una revisión inmediata:
- Lanzamiento de nuevo producto o funcionalidad que recopile o procese datos
- Contratación o cambio de proveedor con acceso a datos personales
- Cambio de base legal identificado por el equipo legal
- Cese de actividad (que debe registrarse con fecha de término)
- Incidente de seguridad que revele una actividad no mapeada
Revisión periódica (ciclo regular)
Además de las revisiones por evento, un ciclo anual (o semestral para organizaciones de mayor riesgo) debe recorrer todo el RAT:
- Enviar a cada responsable de área la lista de actividades bajo su gestión
- El responsable confirma: ¿la actividad está correcta, fue modificada o fue suspendida?
- Para cada cambio identificado, registrar nueva versión
- Para las actividades sin cambio, registrar la reconfirmación
- Identificar actividades de tratamiento nuevas que aún no estén en el RAT
El versionado como evidencia de cumplimiento continuo
Una organización que presenta un RAT con historial de versiones demuestra a la APDP algo que una planilla estática nunca logra: que hubo proceso, no solo documento.
Qué demuestra el historial
Diligencia: la organización monitoreó sus prácticas a lo largo del tiempo y las actualizó cuando fue necesario.
Transparencia: los cambios fueron documentados con justificación, no ocultados ni ignorados.
Rendición de cuentas: cada versión registra quién aprobó el cambio y cuándo — hay una cadena de custodia clara.
Proporcionalidad: la organización puede demostrar que el principio de minimización fue observado — por ejemplo, que decidió eliminar la recopilación de un dato por no ser ya necesario para la finalidad.
En la práctica: responder preguntas difíciles
| Pregunta de la APDP | Con versionado | Sin versionado |
|---|---|---|
| "¿Con qué base legal se recopilaron estos datos en 2025?" | Versión vigente en 2025, consultada en segundos | "Creemos que era consentimiento, pero no tenemos certeza" |
| "¿Cuándo este proveedor comenzó a tener acceso a esos datos?" | Fecha exacta registrada en la versión correspondiente | Desconocido |
| "¿El titular fue informado de esta finalidad al momento de la recopilación?" | Versión del aviso de privacidad vigente en la fecha de recopilación | Imposible de demostrar |
| "¿Por qué fue suspendida esta actividad?" | Motivo registrado con fecha | "Fue suspendida, pero no sabemos por qué ni exactamente cuándo" |
Versionado y ciclos de auditoría interna
El versionado del RAT potencia las auditorías internas de privacidad. En vez de auditar solo el estado actual, es posible auditar la consistencia histórica: las versiones registran las decisiones que se tomaron a lo largo del tiempo — base legal, finalidad, encargados. La auditoría puede verificar si esas decisiones fueron jurídicamente correctas y si los titulares fueron debidamente informados ante cada cambio relevante.
Este modelo transforma la auditoría de un proceso de inspección puntual en un proceso de verificación continua, más robusto y más eficiente.
Desafíos y cómo superarlos
Desafío 1: Resistencia de las áreas de negocio
Las áreas de negocio que operan las actividades de tratamiento pueden ver el versionado como burocracia adicional. La solución es integrar el proceso al flujo de trabajo existente — por ejemplo, exigir que cualquier solicitud de nuevo sistema o funcionalidad incluya la actualización del RAT como etapa obligatoria de aprobación.
Desafío 2: Las planillas no soportan versionado real
Versionar un RAT en planilla es técnicamente posible, pero operativamente frágil: requiere duplicación de pestañas, convenciones manuales de nomenclatura y una disciplina de actualización que raramente se sostiene. Los sistemas dedicados mantienen el historial automáticamente, asocian versiones a usuarios y fechas, y permiten comparaciones entre versiones de forma estructurada.
Desafío 3: Definir el nivel de granularidad
Demasiado granular (registrar como cambio cualquier ajuste mínimo) genera ruido y pierde la señal. Demasiado grueso (registrar solo cambios radicales) pierde eventos importantes. La regla de oro: cualquier cambio que afectaría lo que el titular fue informado es un cambio que exige versión.
Conclusión
El versionado no es una funcionalidad avanzada para organizaciones maduras — es un requisito de cumplimiento que se disfraza de buena práctica. El deber de responsabilidad proactiva de la Ley 21.719 exige que el cumplimiento sea demostrable: sin un historial de versiones del RAT, esa demostración es parcial e insuficiente ante la APDP.
Más que una obligación, el versionado es una ventaja operativa: elimina la incertidumbre sobre el estado pasado de las actividades de tratamiento, permite auditorías más eficientes y provee la evidencia que, en el peor escenario de una investigación o un reclamo, puede hacer toda la diferencia.
Confidata mantiene historial completo de versiones de cada actividad de tratamiento, con registro automático de quién modificó, qué y cuándo — además de soporte para ciclos de reconfirmación periódica para demostrar revisión activa del RAT.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.