Departamento TI
Compliance

Cómo crear tu Registro de Actividades de Tratamiento (RAT) en Chile desde cero

juanhernandez@preyhq.com
Juan H.
Jan 6, 2026
0 minutos de lectura
Cómo crear tu Registro de Actividades de Tratamiento (RAT) en Chile desde cero
Tabla de Contenidos
Heading H2
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

Qué es el Registro de Actividades de Tratamiento y por qué la Ley 21.719 lo vuelve ineludible

El Registro de Actividades de Tratamiento (RAT) es, en simple, el mapa de todos los lugares donde tu organización toca datos personales. No es un archivo muerto ni un trámite: es un inventario vivo que explica qué datos usas, para qué, quién los usa y cómo los proteges. Con la Ley 21.719, tenerlo ya no es opcional: es la base para demostrar cumplimiento real.

Base legal en Chile: Ley 19.628 + Ley 21.719 y Reglamento

La Ley 19.628, actualizada por la Ley 21.719, no usa el término “RAT” como tal, pero en la práctica te empuja exactamente hacia eso: partir por un diagnóstico interno ordenado. Es decir, levantar qué datos estás recolectando, dónde viven, cómo se gestionan, quién tiene acceso y qué medidas concretas de protección y control existen (o faltan). Ese registro “vivo” después se mantiene, se revisa y debe estar disponible si la autoridad lo solicita.

Qué pasa si no tienes tu RAT listo antes de la entrada en vigor

No contar con un RAT te deja expuesto. Sin él, es muy difícil probar cumplimiento, responder bien ante fiscalizaciones o explicar qué datos se vieron afectados en un incidente. También complica atender derechos de los titulares dentro de plazo. A eso se suman riesgos de sanciones, reprocesos internos y decisiones apresuradas cuando ya es tarde para ordenar la información.

Quién está obligado a llevar un RAT

En la práctica, casi todas las organizaciones necesitan un RAT. Si tu empresa trata datos personales, de clientes, trabajadores, proveedores o usuarios, ya estás dentro. No importa tanto el tamaño, sino el hecho de decidir para qué y cómo se usan esos datos. El RAT es la forma más clara de ordenar esa realidad y demostrar que sabes lo que haces con la información personal.

Qué información debe tener un RAT

Un RAT debe describir con precisión cómo funciona cada tratamiento de datos dentro de la organización. La ley exige que el registro sea claro, actualizado y entendible tanto internamente como para la autoridad.

Un RAT debe incluir, al menos:

  • Identificación del responsable del tratamiento y sus datos de contacto.
  • Finalidades específicas del uso de los datos.
  • Categorías de titulares (empleados, clientes, proveedores, etc.).
  • Tipos y categorías de datos personales tratados, incluidos los sensibles.
  • Transferencias de datos a terceros o al extranjero y su nivel de protección.
  • Origen de los datos (fuente directa, pública, terceros).
  • Plazos de conservación o criterios de eliminación.
  • Medidas técnicas y organizativas de seguridad aplicadas.
  • Uso de decisiones automatizadas o perfiles, si existen.

Casos prácticos: pymes, empresas medianas, corporativos regulados

Incluso una pyme con pocos datos gana mucho con un RAT. Permite ordenar procesos, detectar riesgos tempranos y evitar improvisaciones cuando alguien ejerce sus derechos o ocurre un incidente. En empresas medianas y grandes, el RAT además ayuda a coordinar áreas, estandarizar criterios y sostener auditorías sin correr contra el tiempo.

Cómo saber si tu organización debe priorizar el RAT

Si tienes dudas sobre por dónde partir, un checklist rápido suele aclararlo. El RAT debería ser prioritario si se cumple una o más de estas condiciones, si marcaste más de una, el RAT no puede esperar:

  • Manejas un volumen relevante de datos personales.
  • Tratas datos sensibles (salud, biometría, situación laboral).
  • Procesas datos de niños, niñas y adolescentes.
  • Usas tratamientos automatizados o perfiles.
  • Compartes datos con proveedores externos.
  • Realizas transferencias internacionales.
  • Operas con trabajo remoto, movilidad o BYOD.

Paso a paso: cómo crear tu Registro de Actividades de Tratamiento desde cero

Armar un RAT desde cero no es un ejercicio legal abstracto, es un trabajo práctico y colaborativo. La clave está en entender cómo fluye el dato en la organización, documentarlo con criterio común y dejar un registro que se pueda mantener en el tiempo. Estos pasos te ayudan a partir ordenado y sin sobredimensionar el esfuerzo.

Paso 1: mapear procesos y flujos de datos personales

El primer paso es levantar la realidad, no la teoría. Para eso, funciona muy bien hacer talleres internos por área (RRHH, Comercial, Marketing, Operaciones, TI) y conversar sobre cómo se usan los datos en el día a día. La idea es descubrir flujos reales, no procesos ideales.

Pasos recomendados:

  • Reúne a cada área con alguien de legal, compliance o TI.
  • Haz preguntas gatillo como:
    • “¿Dónde recoges datos de clientes o empleados?”
    • “¿Qué sistemas, planillas o herramientas usas?”
  • Anota sistemas, proveedores, accesos y puntos de intercambio.

Paso 2: identificar tratamientos y agruparlos

Con la información levantada, toca ordenar. Aquí es clave diferenciar un tratamiento de una base de datos. Un tratamiento es el propósito y el proceso; la base es solo el soporte. Agrupar bien evita RATs eternos e imposibles de mantener.

Pasos recomendados:

  • Identifica tratamientos por finalidad, no por sistema.
  • Agrupa actividades similares bajo un mismo tratamiento.
  • Usa nombres claros, por ejemplo:
    • “Gestión del ciclo de vida del empleado”
    • “Facturación a clientes”
    • “Campañas de email marketing”

Paso 3: completar la plantilla RAT con la información mínima

Ahora sí, toca llenar la plantilla. No busques perfección desde el día uno: claridad y coherencia pesan más que el detalle excesivo. Cada columna debe ayudar a entender el tratamiento sin tener que explicarlo oralmente.

Pasos recomendados:

  • Completa una fila por tratamiento identificado.
  • Usa descripciones simples y concretas en finalidades.
  • Evita copiar y pegar textos legales largos.
  • Si algo no aplica, déjalo explícito (“no hay transferencias”, “no hay perfiles”).

Paso 4: validar el RAT con el comité de privacidad / DPO

Antes de darlo por cerrado, el RAT debe pasar por una revisión transversal. Este paso asegura que las finalidades, bases legales y plazos tengan sentido y estén alineados entre áreas. También sirve para detectar inconsistencias o riesgos no vistos.

Pasos recomendados:

  • Revisa el RAT con el DPO o responsable de privacidad.
  • Valida coherencia entre tratamientos similares.
  • Ajusta plazos de conservación y medidas de seguridad.
  • Deja registro de la revisión y sus ajustes.

Paso 5: definir un proceso de actualización continua

Un RAT que no se actualiza se vuelve inútil rápido. Por eso, desde el inicio hay que definir cómo y cuándo se mantiene vivo, sin depender de la memoria o la buena voluntad.

Pasos recomendados:

  • Define una revisión periódica (trimestral o semestral).
  • Establece gatillos claros de actualización:
    • Nuevos sistemas o herramientas.
    • Nuevos proveedores o contratos.
    • Nuevos tratamientos de datos.
    • Cambios legales o regulatorios.
  • Asigna un responsable del mantenimiento del RAT.

Errores comunes al implementar un RAT

Implementar un RAT parece fácil, pero se cae rápido si se trata como un documento “para cumplir”. Los errores más comunes vienen de enfocarlo solo como un listado técnico, dejar fuera tratamientos riesgosos o no conectarlo con el resto del programa de privacidad. Abajo tienes los tropiezos típicos y cómo corregirlos sin drama.

Confundir inventario de bases de datos con RAT

Muchos arman un listado de sistemas, carpetas y planillas, y lo llaman RAT. Pero el RAT no es “dónde está guardado”, sino qué tratamiento haces, con qué finalidad, qué datos, quién accede, con quién se comparte y cómo se protege. La forma correcta es definir tratamientos por finalidad y luego asociar los sistemas como soporte.

Dejar fuera datos sensibles o de alto riesgo (salud, NNA, biométricos)

Este error es más común de lo que parece: se documenta “lo típico” (contactos, facturación) y se dejan fuera datos de salud, biometría o datos de niños, niñas y adolescentes. Justo los más sensibles. Lo correcto es marcarlos explícitamente, elevar su nivel de riesgo, y describir controles reforzados (accesos, cifrado, retención, trazabilidad).

No documentar decisiones automatizadas ni perfiles

Si tu empresa hace segmentación, scoring, filtros automáticos, listas de exclusión o personalización, ya hay automatización. Y si eso influye en ofertas, acceso a servicios o comunicaciones, el RAT debe reflejarlo. Hazlo bien describiendo que existe automatización, la lógica general (sin revelar secretos) y el impacto esperado para el titular, aunque sea “solo marketing”.

No vincular el RAT con DPIA, políticas y matriz de riesgos

Un RAT aislado termina siendo una tabla bonita que nadie usa. El registro debería alimentar decisiones reales: qué tratamientos requieren DPIA/EIPD, qué políticas aplican, y dónde están los riesgos altos. La forma correcta es cruzar el RAT con tu matriz de riesgos, enlazarlo a políticas/procedimientos y marcar si existe DPIA, fecha y responsable.

Mantener el RAT estático, sin proceso de actualización

El RAT no sirve si se actualiza una vez al año “cuando se acuerdan”. Los tratamientos cambian con nuevos proveedores, nuevas herramientas, nuevos flujos o nuevos proyectos. Para hacerlo bien, define una frecuencia (trimestral o semestral), asigna un dueño del RAT y crea gatillos claros: onboarding de software, cambios de contrato, campañas nuevas, o ajustes regulatorios.

Cómo conectar tu RAT con el resto de tu programa de cumplimiento en privacidad

El RAT no está pensado para vivir solo en una carpeta. Bien usado, se transforma en la columna vertebral del programa de privacidad, conectando riesgos, controles, políticas y respuestas ante incidentes. Cuando el RAT conversa con el resto del sistema, el cumplimiento deja de ser reactivo y pasa a ser operativo, ordenado y mucho más fácil de demostrar frente a cualquier revisión.

RAT + EIPD

El RAT es el punto de partida natural para detectar qué tratamientos requieren una EIPD. Al revisar finalidades, tipos de datos, automatización y categorías de titulares, se hace evidente dónde hay riesgo alto. Usarlo así evita evaluaciones innecesarias y permite priorizar bien, dejando trazabilidad clara entre tratamiento, nivel de riesgo y evaluación realizada.

RAT + políticas de datos y privacidad

Las políticas no deberían escribirse en abstracto. El RAT entrega el insumo real: qué datos se tratan, para qué, por cuánto tiempo y con qué terceros. Con eso, las políticas internas, los avisos de privacidad web y las cláusulas contractuales reflejan la operación real de la empresa, no promesas genéricas que después cuesta sostener.

RAT + notificación de brechas de seguridad

Cuando ocurre un incidente, el tiempo importa. Un RAT bien mantenido permite identificar rápido qué datos estaban involucrados, qué sistemas los procesan y qué titulares podrían verse afectados. Eso facilita evaluar impacto, cumplir plazos de notificación y entregar información coherente tanto a la autoridad como a las personas, sin improvisar en medio de la crisis.

RAT + modelo de prevención de infracciones

Dentro del modelo de prevención, el RAT funciona como evidencia central. Muestra que la organización conoce sus tratamientos, evalúa riesgos y aplica controles concretos. Además, permite demostrar alineación con el Reglamento: registro actualizado, responsabilidades definidas, vínculos con políticas, evaluaciones y acciones correctivas. Es compliance aplicado, no solo declarado.

El RAT en la práctica

Bien hecho, el RAT es la herramienta que te permite entender, ordenar y gobernar cómo se usan los datos personales en tu organización. Con la Ley 21.719, el RAT se vuelve clave para demostrar control, reducir riesgos y responder con claridad cuando la autoridad o los titulares hacen preguntas.Llévate aquí nuestra plantilla lista para usar, con columnas predefinidas según los requisitos de la Ley 21.719 y las buenas prácticas del modelo de prevención. Incluye:

  • Finalidades, categorías de datos y titulares
  • Identificación de responsables internos
  • Riesgos asociados y relación con EIPD
  • Transferencias, medidas de seguridad y plazos de conservación
  • Sección para decisiones automatizadas y perfiles

Frequently asked questions

No items found.

Sobre el mismo tema

Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile
Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile

Aprende qué es una Evaluación de Impacto de Privacidad (DPIA/EIPD) en Chile, cuándo es obligatoria según la Ley 21.719 y cómo elaborarla paso a paso.

Jan 6, 2026
Continuar leyendo
Cómo crear tu Registro de Actividades de Tratamiento (RAT) en Chile desde cero
Cómo crear tu Registro de Actividades de Tratamiento (RAT) en Chile desde cero

Aprende qué exige la Ley 21.719 sobre el Registro de Actividades de Tratamiento (RAT) en Chile y cómo construir el tuyo paso a paso.

Jan 6, 2026
Continuar leyendo
Estructura recomendada para el comité de privacidad y gobernanza de datos
Estructura recomendada para el comité de privacidad y gobernanza de datos

Aprende cómo crear un comité de privacidad y gobernanza de datos en tu organización en Chile: estructura recomendada, roles, funciones y relación con la Ley 21.719.

Dec 12, 2025
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar