30 de abril de 2026
Qué es el Registro de Actividades de Tratamiento (RAT)
El RAT es el inventario formal de todas las actividades de tratamiento de datos que realiza tu empresa. Está regulado en el artículo 14bis de la Ley 21.719 y es el primer documento que pedirá la Agencia de Protección de Datos en cualquier fiscalización.
¿Por qué es tan importante?
No tener el RAT o tenerlo incompleto es una infracción en sí misma — independiente de que el resto del cumplimiento esté en orden. Además, es la base de todo lo demás: sin saber qué datos tratas y con qué finalidad, no puedes redactar una Política de Privacidad correcta, definir tus bases legales ni establecer plazos de retención adecuados.
Qué debe incluir cada registro
Por cada actividad de tratamiento, el RAT debe documentar:
| Campo | Ejemplo | Norma |
|---|---|---|
| Nombre de la actividad | Gestión de empleados | Art. 14bis |
| Finalidad del tratamiento | Administración de RRHH, pago de remuneraciones | Art. 14bis a) |
| Categorías de titulares | Trabajadores de la empresa | Art. 14bis b) |
| Categorías de datos | Nombre, RUT, cuenta bancaria, datos de salud previsional | Art. 14bis c) |
| Base legal | Ejecución de contrato laboral | Art. 13 |
| Destinatarios | Servicio de pago de remuneraciones, PREVIRED | Art. 14bis d) |
| Transferencias internacionales | No aplica / Proveedor cloud en EE.UU. | Art. 14bis e) |
| Plazo de retención | 5 años desde término de contrato | Art. 14bis f) |
| Medidas de seguridad | Acceso restringido, cifrado de datos sensibles | Art. 14bis g) |
¿Una fila por actividad o por tipo de dato?
Por actividad. Una empresa típica tiene entre 5 y 20 actividades distintas: gestión de empleados, atención al cliente, marketing, facturación, proveedores, seguridad, etc. Cada una va en una fila separada del RAT.
¿Quién debe tener un RAT?
Toda empresa que trate datos personales, sin excepción por tamaño. La ley no establece umbral mínimo de empleados ni de volumen de datos. Si tienes clientes, empleados o proveedores con datos personales registrados, debes tener un RAT.
¿Con qué frecuencia se actualiza?
El RAT debe mantenerse actualizado. Cada vez que tu empresa inicia una nueva actividad de tratamiento (nuevo sistema, nueva campaña de marketing, nuevo proveedor que accede a datos) se debe agregar una entrada al registro. Se recomienda revisarlo al menos una vez al año y después de cualquier cambio relevante en los procesos de la empresa.
¿Cómo genera PrivacTech tu RAT?
El agente IA entrevista a tu empresa sobre sus procesos: qué datos recopila, de quién, para qué y con quién los comparte. Con esas respuestas genera automáticamente un RAT personalizado en formato PDF, con todas las actividades identificadas, bases legales asignadas y plazos de retención sugeridos por tipo de dato.