Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

4 de mayo de 2026

Registro de Actividades de Tratamiento (RAT): qué incluir y cómo estructurarlo

```html

Registro de Actividades de Tratamiento (RAT): qué incluir y cómo estructurarlo

El Registro de Actividades de Tratamiento (RAT) es el documento más importante que revisará la Agencia de Protección de Datos cuando fiscalice tu empresa. No es un trámite burocrático más: es la prueba de que sabes qué datos tienes, para qué los usas y cómo los proteges. Si no tienes un RAT claro y actualizado, la Agencia tendrá argumentos sólidos para sancionar. Veamos cómo hacerlo bien.

¿Quién está obligado a tener RAT?

La Ley 21.719 (artículo 5) obliga a todos los responsables de tratamiento a llevar un RAT. Sí, a todos. No importa si eres una PyME con 5 empleados o una empresa grande. No importa si tienes datos de clientes, empleados o ambos. Si tratas datos personales, necesitas registro. La única excepción es si actúas como encargado de tratamiento (alguien que trata datos en nombre de otro) y tienes un contrato claro que lo define.

Traducción práctica: si tienes una lista de clientes en Excel, un CRM, archivos de personal o cualquier base de datos con información de personas, debes documentarlo en tu RAT.

Los 10 campos obligatorios en cada entrada del RAT

Cada actividad de tratamiento que registres debe incluir estos 10 campos mínimos:

  • Nombre de la actividad: "Gestión de nómina de empleados" o "Base de clientes de ventas"
  • Finalidad: Para qué exactamente usas esos datos. Ejemplo: "Gestionar contratos, pagos y beneficios"
  • Categorías de datos: Qué tipo de información tratas: nombre, RUT, email, teléfono, salario, datos de salud, etc.
  • Categorías de interesados: A quiénes pertenecen esos datos: empleados, clientes, proveedores, candidatos
  • Destinatarios: A quién compartes los datos. Ejemplo: contador externo, plataforma de payroll, banco
  • Plazos de conservación: Cuánto tiempo guardas esos datos. Ejemplo: "3 años según obligaciones tributarias"
  • Medidas de seguridad: Cómo proteges la información: contraseña, encriptación, acceso restringido, respaldos
  • Base legal: Por qué tienes derecho a tratar esos datos: consentimiento, contrato, obligación legal
  • Transferencias internacionales: ¿Envías datos al extranjero? ¿A dónde y por qué?
  • Responsable del tratamiento: Quién es responsable en tu empresa de esa actividad específica

Cómo organizar el RAT por departamentos

No hagas un documento caótico. Agrupa las actividades de tratamiento por áreas de tu empresa:

  • Recursos Humanos: nómina, evaluaciones, capacitaciones, salud ocupacional
  • Ventas: base de clientes, leads, historial de compras, contactos
  • Contabilidad: datos de proveedores, facturas, registros tributarios
  • Marketing: listas de contactos, cookies, análisis de sitio web
  • Operaciones: acceso de empleados, cámaras de seguridad, registros de asistencia

Esta estructura facilita que cada gerente se haga cargo de su sección y que la Agencia entienda rápidamente cómo funciona tu empresa.

Excel vs. software especializado: qué usar

Excel funciona si tienes pocas actividades (menos de 10). Es gratis y todos saben usarlo. Pero tiene problemas: es fácil borrarse accidentalmente, nadie sabe cuándo se actualizó por última vez, y no deja auditoria clara.

Un software especializado (como PrivacTech) es mejor si tienes varias actividades o departamentos. Guarda automáticamente cambios, genera reportes para la Agencia, y permite asignar responsables por sección. Pero requiere inversión.

Consejo práctico: comienza en Excel si recién empiezas, pero migra a software cuando tengas más de 15 actividades o cuando necesites demostrar auditoría clara a la Agencia.

Con qué frecuencia actualizar el RAT

Mínimo una vez al año, obligatoriamente. Pero actualiza también cuando:

  • Agregues una nueva forma de recolectar datos (ejemplo: implementas un chatbot)
  • Cambies a un nuevo proveedor o encargado de tratamiento
  • Dejes de usar una base de datos o sistema
  • Modifiques los plazos de conservación de datos
  • Cambien tus medidas de seguridad

Registra la fecha de cada actualización. La Agencia lo pedirá.

Ejemplo real de una entrada del RAT

Actividad: Gestión de Base de Clientes de Ventas

Finalidad: Mantener contacto comercial, enviar ofertas, gestionar pedidos y facturas

Categorías de datos: Nombre, RUT, email, teléfono, dirección, historial de compras

Categorías de interesados: Clientes actuales y potenciales

Destinatarios: Equipo de ventas interno, plataforma de facturación (Software ABC Ltda.), transportista para entregas

Plazos: 5 años (según obligaciones tributarias); clientes inactivos por más de 2 años se eliminan

Medidas de seguridad: Acceso solo con contraseña, conexión cifrada, respaldos semanales en servidor seguro, empleados capacitados en privacidad

Base legal: Contrato con cliente, consentimiento recolectado en formulario de compra

Transferencias internacionales: No hay

Responsable: Gerente de Ventas, apoyado por administrador de sistemas

Conclusión: no es opcional, es tu escudo legal

El RAT no es papeleo: es tu defensa cuando llegue la Agencia. Déjalo claro, actualizado y organizado. Si aún no tienes uno, empieza hoy. Si ya lo tienes en Excel, revísalo y pregúntate si está completo.

Para que sea más fácil y hagas esto bien desde el inicio, PrivacTech te ayuda a armar tu RAT automáticamente, sin necesidad de ser experto en compliance. Accede a privactech.com para hacer