🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Cómo auditar la calidad de tu RAT: checklist para DPO y auditoría interna

juan@preyhq.com
Juan O.
Apr 2, 2026
0 minutos de lectura
Cómo auditar la calidad de tu RAT: checklist para DPO y auditoría interna
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juan@preyhq.com
Juan O.

Juan lidera la estrategia de contenido en Prey, trabajando junto a equipos de TI y seguridad en distintos sectores. Su enfoque está en explicar problemas reales como la seguridad de dispositivos y el cumplimiento de forma clara, práctica y aplicable.

Por qué auditar el Registro de Actividades de Tratamiento

Cuando una autoridad fiscalizadora revisa el cumplimiento de una organización, uno de los primeros documentos que solicitará es el Registro de Actividades de Tratamiento (RAT). Bajo la Ley 21.719, el Delegado de Protección de Datos (DPO) tiene la responsabilidad de supervisar que este registro refleje fielmente las operaciones de tratamiento, los controles implementados y los principios de la normativa.

Pero tener un RAT no equivale a cumplir con la ley. La diferencia entre cumplimiento formal y cumplimiento material es lo que separa a una organización preparada de una expuesta. Una auditoría de calidad verifica que el registro sea veraz, actualizado y respaldado por evidencia operativa, no una simple declaración de intenciones. Este proceso puede estructurarse en cuatro fases.

TL;DR

Auditar tu RAT en 4 fases

  • Integridad: verifica que cada tratamiento de datos esté registrado, incluyendo Shadow IT y dispositivos endpoint.
  • Revisión normativa: valida finalidades, bases de licitud, categorías de datos y plazos de conservación.
  • Verificación operativa: contrasta el registro con los sistemas, controles y activos tecnológicos reales.
  • Gobernanza: asegura control de versiones, trazabilidad de incidentes y disponibilidad para fiscalización.

Fase 1: Integridad del registro (¿Está todo lo que existe?)

El auditor debe verificar que la organización haya identificado cada operación que constituya un tratamiento de datos. Esto incluye cualquier procedimiento técnico, automatizado o no, que permita recolectar, procesar, almacenar, comunicar o transmitir información de personas naturales identificadas o identificables.

Inventario de procesos y detección de Shadow IT

Es imperativo confirmar que el RAT incluya todos los conjuntos organizados de datos, sin importar su finalidad o modalidad de creación. Al auditar el área de marketing, por ejemplo, se debe rastrear si existen planillas de Excel con prospectos fuera del CRM oficial, asegurando que cada custodia de información esté registrada como almacenamiento de datos.

Se debe entrevistar a los departamentos para hallar procesos que utilicen datos personales fuera de los sistemas autorizados. Un auditor debe revisar, por ejemplo, si el equipo de selección de personal guarda currículos en carpetas físicas o correos electrónicos personales, ya que toda operación técnica sobre estos datos debe estar formalmente mapeada en el registro institucional.

En esta fase, cruzar el RAT con un inventario de datos actualizado permite detectar tratamientos que aún no han sido documentados formalmente.

Auditoría de roles y responsabilidades

El auditor debe certificar que se ha identificado correctamente al Responsable, quien decide fines y medios, y al Tercero Mandatario o Encargado, quien opera por cuenta del primero. Por ejemplo, al contratar un servicio externo de nóminas, el contrato debe estipular claramente que el proveedor actúa como mandatario bajo instrucciones específicas del responsable.

Es necesario comprobar que el RAT cubra tratamientos destinados a ofrecer bienes o servicios a titulares en Chile, incluso si el responsable no reside en el país. Si una empresa extranjera monitorea el comportamiento de usuarios chilenos mediante cookies para predicción de perfiles, dicha actividad debe estar declarada bajo el control de la futura Agencia de Protección de Datos Personales.

Mapeo de transferencias internacionales

El auditor debe validar que toda transferencia a personas u organizaciones sujetas a ordenamientos jurídicos extranjeros esté documentada en el RAT. Un caso práctico es el uso de plataformas de soporte técnico basadas en otros continentes, donde se debe verificar si el país de destino posee niveles adecuados de protección o si existen garantías contractuales suficientes.

Se debe prestar especial atención a los servicios en la nube, comprobando que la transferencia internacional cumpla con estándares similares o superiores a los fijados en la ley nacional. Al auditar un servicio de respaldo en servidores externos, el DPO debe confirmar que la transferencia no sea habitual o cuente con el consentimiento expreso del titular según corresponda.

Fase 2: Revisión normativa del RAT

Esta fase analiza si las reglas aplicadas a cada proceso cumplen con el estándar legal chileno. El DPO debe demostrar la legitimidad de cada operación documentada en el RAT. Una estructura incompleta se considera una falta de transparencia sancionable bajo la normativa.

Finalidades del tratamiento

La revisión debe confirmar que cada actividad tenga objetivos específicos, explícitos y lícitos según el principio de finalidad. El auditor rechazará descripciones genéricas que no limiten claramente el uso de la información. Para asegurar el cumplimiento, la auditoría debe validar:

  • Definición precisa de cada objetivo operativo del tratamiento.
  • Verificación de coherencia entre los fines declarados y el uso real.
  • Validación de compatibilidad en caso de cambios en el propósito original.

Categorías de datos personales

El registro debe segmentar a los titulares y detectar datos que exijan una capa de seguridad superior. La ley establece condiciones rigurosas para la gestión de información de salud, biométrica o perfiles biológicos. El tratamiento ilícito de estas categorías se tipifica como una infracción gravísima.

El control sobre datos sensibles requiere que el RAT detalle mecanismos de protección específicos:

  • Identificación de datos sensibles y cumplimiento de su consentimiento expreso.
  • Control estricto sobre el tratamiento de datos de niños y adolescentes.
  • Verificación de la prohibición de tratamiento masivo de registros de infracciones.

Conservación y proporcionalidad

El documento debe especificar cuánto tiempo se almacenará la información personal bajo el principio de proporcionalidad. La permanencia de los datos debe restringirse al periodo necesario para cumplir el fin propuesto. Superar este plazo requiere una autorización legal explícita o el consentimiento renovado del titular.

El auditor debe confirmar que el ciclo de vida del dato esté definido mediante los siguientes parámetros:

  • Determinación de plazos fijos de custodia por cada proceso registrado.
  • Protocolos para la supresión definitiva una vez terminada la finalidad.
  • Procedimientos de anonimización para usos históricos o estadísticos permitidos.

Bases de licitud del tratamiento

Cada registro debe estar anclado a una fuente de legitimidad que justifique la operación de tratamiento. La auditoría evalúa si el fundamento es el consentimiento, una obligación legal o un interés legítimo del responsable. La falta de un respaldo legal válido anula la licitud del proceso.

  • Validación de la manifestación de voluntad libre e informada del titular.
  • Verificación de nexos contractuales que sustenten la necesidad del tratamiento.
  • Evaluación de la ponderación de intereses legítimos frente a derechos del titular.

Fase 3: Verificación operativa del RAT (la prueba de campo)

Una vez verificada la estructura normativa, la auditoría debe comprobar que la información documentada en el RAT refleje la realidad operativa de la organización. El auditor debe validar que los procesos, sistemas y controles descritos coincidan con las prácticas técnicas implementadas.

Un RAT correctamente estructurado desde el punto de vista legal puede seguir siendo deficiente si no representa fielmente cómo se gestionan los datos. La autoridad fiscalizadora suele contrastar el contenido del registro con evidencias operativas como configuraciones de sistemas, controles de acceso o registros de actividad.

Verificación de sistemas y repositorios de datos

El auditor debe confirmar que los sistemas mencionados en el RAT correspondan a los sistemas realmente utilizados para procesar datos personales. Esto implica revisar aplicaciones corporativas, bases de datos, herramientas de marketing, plataformas de recursos humanos y cualquier otro sistema que pueda almacenar información identificable.

También es necesario verificar que no existan repositorios no documentados. Carpetas compartidas, servicios de almacenamiento en la nube o herramientas SaaS utilizadas por áreas específicas pueden generar tratamientos de datos que no aparecen en el registro oficial.

Validación del inventario de activos tecnológicos

Una parte crítica de la verificación operativa consiste en contrastar el RAT con el inventario de activos de TI de la organización. Este cruce permite identificar sistemas o dispositivos que procesan datos personales pero que no han sido considerados dentro del registro.

En muchas organizaciones, la información personal no reside únicamente en bases de datos corporativas, sino también en dispositivos como laptops, teléfonos móviles o equipos utilizados bajo esquemas BYOD. La gestión de estos endpoints mediante herramientas de control de dispositivos permite generar evidencia trazable de que los activos que procesan datos personales están identificados y protegidos. Una solución de gestión de dispositivos (MDM) puede facilitar este proceso al centralizar la visibilidad sobre el inventario tecnológico.

Comprobación de controles de seguridad

El auditor debe evaluar si las medidas de seguridad descritas en el RAT están efectivamente implementadas. En muchos registros se declaran controles como cifrado, seudonimización o control de acceso, pero estos mecanismos no siempre se aplican de manera consistente en los sistemas productivos.

La auditoría puede requerir revisar configuraciones técnicas, políticas de acceso, registros de autenticación o procedimientos de respaldo para confirmar que las medidas declaradas corresponden a controles reales y operativos.

Coherencia con políticas y comunicaciones públicas

Otro elemento clave es verificar que la información del RAT sea coherente con otros instrumentos de gobernanza de datos: políticas de privacidad, contratos con terceros o avisos de tratamiento publicados en la web.

Cuando las finalidades descritas en el registro difieren de las informadas a los titulares, se genera una inconsistencia que puede ser interpretada por la autoridad como falta de transparencia o deficiencias en la gestión de cumplimiento.

Evidencia y trazabilidad operativa

Finalmente, el auditor debe confirmar que la organización pueda demostrar la existencia de los controles descritos en el registro. La disponibilidad de evidencia documental o técnica (logs de acceso, registros de auditoría, documentación de configuraciones) resulta clave para acreditar que las medidas declaradas no son meramente formales.

La verificación operativa del RAT cierra la brecha entre la documentación de cumplimiento y la realidad técnica, fortaleciendo la capacidad de demostrar responsabilidad proactiva ante eventuales fiscalizaciones.

Fase 4: Gobernanza y mantenimiento del registro

Esta fase se centra en la sostenibilidad del sistema de cumplimiento y la capacidad de respuesta organizacional. El RAT debe ser un documento dinámico bajo la supervisión de una estructura de gobernanza interna clara. La ley sanciona tanto la omisión de reportes de seguridad como la entrega de información falsa a la Agencia.

Control de versiones y trazabilidad

El auditor debe confirmar que el registro permita rastrear todas las modificaciones realizadas en las operaciones de tratamiento a lo largo del tiempo. El sistema de gestión debe documentar la naturaleza de las vulnerabilidades sufridas y las medidas adoptadas para mitigarlas. El registro debe estar permanentemente disponible para la fiscalización inmediata por parte de la autoridad.

Para garantizar la trazabilidad normativa, la organización debe mantener:

  • Historial de actualizaciones que incluya fecha, versión y cambios en las políticas de tratamiento.
  • Bitácora de incidentes de seguridad con detalle de los efectos y categorías de datos afectados. En caso de una filtración de datos personales, esta bitácora será clave para cumplir con los plazos de notificación.
  • Evidencia documental de la respuesta escrita enviada a los titulares tras sus solicitudes de derechos.

El rol del Delegado de Protección de Datos

La auditoría debe validar que el Delegado de Protección de Datos cuente con la autonomía y los recursos necesarios para ejercer sus funciones de supervisión. Su designación debe ser formalizada por la máxima autoridad administrativa de la entidad. Para una visión completa del rol y sus responsabilidades operativas, consulta la guía del DPO.

La efectividad del Delegado se verifica mediante la supervisión de las siguientes responsabilidades:

  • Ejecución de un plan anual de trabajo y rendición de cuentas sobre los resultados de cumplimiento.
  • Asesoría técnica en la identificación de riesgos y en la formación permanente del personal.
  • Supervisión directa del cumplimiento de la ley y de las políticas internas de privacidad.

Formato y disponibilidad

El registro debe presentarse en formatos que aseguren su acceso expedito y gratuito para la autoridad de control. La ley exige que los estándares de cumplimiento se adapten al tamaño de la empresa y al volumen de datos tratados. El incumplimiento de una resolución o requerimiento directo de la Agencia se tipifica como infracción grave.

La gobernanza del RAT debe asegurar:

  • Implementación de herramientas tecnológicas que permitan un ejercicio ágil de los derechos del titular.
  • Publicación mensual en la web institucional de los convenios de cesión de datos en el sector público.
  • Mantenimiento de canales electrónicos operativos para recibir notificaciones de la Agencia y los titulares.

Señales de alerta de un RAT mal documentado

Durante una auditoría interna o una revisión de cumplimiento, ciertos patrones indican que el RAT no refleja adecuadamente las operaciones reales. Identificar estas señales tempranamente permite corregir inconsistencias antes de una fiscalización formal.

  • Finalidades demasiado genéricas. Descripciones como "gestión administrativa" u "operaciones comerciales" no delimitan el propósito del tratamiento. La autoridad espera finalidades específicas que permitan comprender por qué se recopilan y utilizan los datos personales.
  • Ausencia de bases de licitud identificadas. Cada actividad de tratamiento debe estar respaldada por una base legal válida. Cuando el registro no especifica este fundamento, el tratamiento puede considerarse carente de legitimidad jurídica.
  • Plazos de conservación indefinidos. Un RAT que no establece periodos claros de retención indica que la organización no ha definido un ciclo de vida para los datos personales. Esto contraviene el principio de proporcionalidad.
  • Transferencias internacionales no documentadas. El uso de plataformas en la nube o servicios de terceros puede implicar transferencias fuera del país. Si no aparecen registradas en el RAT, existe un riesgo de incumplimiento significativo.
  • Inconsistencias entre el registro y la operación real. La señal más crítica ocurre cuando el RAT describe controles o medidas de seguridad que no existen en la práctica. Estas discrepancias suelen interpretarse como falta de transparencia o negligencia en la gestión de datos.

Auditoría del RAT como herramienta de mitigación

Auditar periódicamente el Registro de Actividades de Tratamiento permite asegurar que este documento refleje cómo la organización gestiona los datos personales que procesa. Cuando el registro se mantiene actualizado y respaldado por evidencia operativa, la organización puede demostrar responsabilidad proactiva ante la autoridad fiscalizadora, reducir riesgos regulatorios y fortalecer su capacidad para responder a incidentes.

En la práctica, la calidad del RAT depende de la visibilidad real que la organización tenga sobre sus sistemas, procesos y dispositivos que procesan datos personales. Contar con estrategias de prevención de brechas y herramientas que centralicen el control de endpoints permite cerrar la brecha entre lo documentado y lo operativo.

Preguntas frecuentes sobre la auditoría del RAT

¿Qué se audita en un Registro de Actividades de Tratamiento?

No solo se revisa que el documento exista. Una auditoría de calidad valida la trazabilidad: que cada flujo de datos declarado tenga un responsable, una base legal y una evidencia técnica que lo respalde (logs de acceso, cifrado activo, etc.). Si el RAT dice "datos protegidos" pero no hay control sobre los endpoints, la auditoría lo marcará como hallazgo.

¿Cada cuánto tiempo se debe auditar el RAT?

La normativa exige responsabilidad proactiva. Más allá de una revisión anual, el RAT debe auditarse tras cualquier cambio en el stack tecnológico o después de un incidente de seguridad. Un RAT desactualizado es, legalmente, un RAT inexistente ante los ojos de un fiscalizador tras una brecha de datos.

¿Quién debe auditar la calidad del RAT?

La revisión puede ser liderada por el Delegado de Protección de Datos, el área legal, compliance, seguridad de la información o auditoría interna, dependiendo de la estructura de la organización. Lo importante es que exista una validación transversal entre quienes conocen la normativa y quienes gestionan la operación técnica.

¿Cuál es la diferencia entre elaborar un RAT y auditarlo?

Elaborar un RAT consiste en documentar las actividades de tratamiento de datos personales. Auditarlo implica verificar si ese registro está completo, actualizado y alineado con la realidad operativa de la organización.

¿Qué pasa si el RAT no refleja la operación real?

Si el registro contiene omisiones o inconsistencias respecto de los sistemas y controles implementados, la organización queda expuesta a observaciones regulatorias, dificultades para demostrar cumplimiento y fallas en la respuesta ante incidentes o solicitudes de los titulares.

¿Un RAT debe incluir datos almacenados en dispositivos y no solo en sistemas corporativos?

Sí. El RAT debe cubrir el ciclo de vida del dato, sin importar dónde resida. Si un ejecutivo descarga una base de clientes en su laptop para trabajar offline, esa operación de almacenamiento debe estar mapeada. Aquí es donde la visibilidad de los endpoints se vuelve la prueba central de cumplimiento.

¿Qué riesgos corro si mi RAT tiene inconsistencias técnicas?

Bajo la Ley 21.719, la entrega de información falsa o inexacta a la Agencia de Protección de Datos puede derivar en multas gravísimas. Ante un ataque de ransomware, un RAT inconsistente impedirá identificar rápidamente qué categorías de datos fueron comprometidas, retrasando la notificación obligatoria y aumentando el daño reputacional.

Sobre el mismo tema

Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719
Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719

Guía paso a paso para que el DPO gestione una filtración de datos personales según la Ley 21.719. Contención técnica, notificación a la Agencia y sanciones de hasta 20.000 UTM.

Apr 1, 2026
Continuar leyendo
Guía del DPO: de la normativa a la práctica para el cumplimiento de la Ley 21.719
Guía del DPO: de la normativa a la práctica para el cumplimiento de la Ley 21.719

Guía práctica para DPO en Chile: implementa la Ley 21.719 paso a paso, gestiona riesgos, protege datos y demuestra cumplimiento con evidencia real.

Mar 26, 2026
Continuar leyendo
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile

Guía práctica para equipos de TI, Legal y Compliance: rol del DPO, responsabilidades, pasos para designarlo y qué evidencia preparar para auditoría en Chile.

Mar 26, 2026
Continuar leyendo