Si la Agencia tocara tu puerta mañana, el primer documento que te pediría sería el RAT. El Registro de Actividades de Tratamiento es la columna vertebral del cumplimiento: sin él, no puedes demostrar que sabes qué datos manejas. Aquí te explicamos qué es y cómo armarlo.
Qué es el Registro de Actividades de Tratamiento (RAT)
El Registro de Actividades de Tratamiento (RAT) es un documento estructurado que inventaría todos los tratamientos de datos personales que realiza una organización. No es una lista de sistemas ni un software: es un registro que, por cada actividad de tratamiento, describe qué datos se usan, para qué, de quién y con quién se comparten.
La Ley 21.719 exige mantener este registro actualizado y disponible para la Agencia cuando lo solicite. Es la evidencia más directa del principio de responsabilidad proactiva: demuestra que tu empresa no solo trata datos, sino que sabe exactamente cómo y por qué lo hace.
¿Qué debe contener el RAT?
Por cada tratamiento, el RAT debe registrar al menos estos elementos:
- Identificación del responsable y, si aplica, del encargado y del Delegado de Protección de Datos.
- Finalidad del tratamiento (para qué se usan los datos).
- Categorías de datos personales tratados y de titulares involucrados.
- Base de licitud que legitima el tratamiento.
- Destinatarios a quienes se comunican los datos.
- Transferencias internacionales, si las hay.
- Plazos de conservación de los datos.
- Medidas de seguridad aplicadas.
Cómo armar el RAT paso a paso
Construir el RAT es más simple de lo que parece si lo haces ordenado:
- Mapea tus tratamientos. Pregunta a cada área (ventas, RR.HH., marketing, finanzas) qué datos usan y para qué.
- Clasifica los datos. Distingue datos comunes de datos sensibles, que tienen reglas más estrictas.
- Asigna una base legal a cada tratamiento (consentimiento, contrato, obligación legal, etc.).
- Identifica a los destinatarios y proveedores que reciben datos, y revisa si hay transferencias al extranjero.
- Define plazos de conservación y describe las medidas de seguridad.
- Documéntalo y mantenlo vivo. El RAT debe actualizarse cada vez que cambie un tratamiento.
Ejemplo simplificado de una fila del RAT
| Campo | Ejemplo |
|---|---|
| Tratamiento | Gestión de clientes del e-commerce |
| Finalidad | Procesar compras y despachos |
| Datos | Nombre, RUT, dirección, correo, historial de compra |
| Base legal | Ejecución de contrato |
| Destinatarios | Empresa de despacho, pasarela de pago |
| Conservación | Mientras dure la relación + plazo legal tributario |
Conclusión
El RAT es el documento que convierte el cumplimiento de la Ley 21.719 de una intención en una evidencia. Armarlo te obliga a conocer tu propia operación de datos y te deja listo para una fiscalización. Puedes partir tu Registro de Actividades de Tratamiento con apoyo experto acá.