Módulos 28 de mayo, 2026 12 min de lectura

Cómo armar tu RAT paso a paso (Ley 21.719)

El Registro de Actividades de Tratamiento (RAT) es la columna vertebral del cumplimiento de la Ley 21.719. Aquí te mostramos cómo construirlo desde cero en 6 pasos, qué campos debe tener cada ficha y cómo evitar los errores más comunes.

¿Qué es el RAT y por qué es el corazón del cumplimiento?

El Registro de Actividades de Tratamiento (RAT) es el inventario estructurado de todos los procesos de tu organización que tratan datos personales. Los artículos 16 y 17 de la Ley 21.719 lo exigen explícitamente: si no tienes RAT, no tienes cumplimiento.

Pero el RAT no es solo un requisito formal. Es la base operativa sobre la que se sostiene todo lo demás:

El consentimiento se asigna por tratamiento del RAT.
Las EIPD se hacen sobre tratamientos del RAT.
Los encargados se vinculan a tratamientos del RAT.
Las brechas se notifican señalando qué tratamientos afectaron.

💡

Si tu RAT está bien armado, el 70% del cumplimiento ya está hecho El RAT obliga a hacer la pregunta clave: "¿Qué datos personales trata mi empresa, para qué y con qué autoridad?". Responder eso bien resuelve la mayoría de los desafíos posteriores.

El flujo completo: 6 pasos para crear tu RAT

Diagrama 1 — Los 6 pasos para construir el RAT desde cero.

Paso 1 — Define el alcance

Antes de levantar nada, decide qué partes de la organización entran en el RAT. Lo correcto es incluir todas las áreas que tratan datos personales: clientes, RRHH, marketing, finanzas, operaciones, TI, atención al cliente, proveedores. No olvides áreas "ocultas" como cámaras de seguridad, control de acceso o programas de fidelización.

Paso 2 — Levanta los procesos

Entrevista a los responsables de cada área. La pregunta clave es: "¿Qué procesos manejas que involucren datos de personas?". Documenta cada uno con un nombre claro (ej: "Reclutamiento de personal", "Atención de reclamos", "Newsletter de marketing"). En esta etapa lo importante es identificarlos todos, no documentarlos en profundidad todavía.

Paso 3 — Documenta cada tratamiento

Por cada proceso identificado, completa una ficha RAT con los campos obligatorios (los detallamos abajo). Esta es la parte más larga: una organización mediana típica tiene entre 30 y 80 tratamientos distintos.

Paso 4 — Asigna dueños

Cada ficha del RAT debe tener un responsable operativo: la persona que conoce el proceso y debe mantener la ficha actualizada. Sin dueños, el RAT se vuelve obsoleto en 3 meses.

Paso 5 — Vincula sistemas y encargados

Cada tratamiento usa sistemas (CRM, ERP, cloud, planillas) y a menudo involucra encargados de tratamiento (proveedores como AWS, HubSpot, etc.). Vincula cada ficha con sus sistemas y encargados — esto te servirá luego para gestionar DPAs y transferencias internacionales.

Paso 6 — Revisa y actualiza

El RAT debe revisarse al menos cada 6-12 meses y siempre que cambie un proceso, se contrate un nuevo encargado o se lance un producto nuevo. Sin proceso de actualización, el RAT pierde valor probatorio frente a una fiscalización.

Anatomía de una ficha RAT

La Ley 21.719 (artículos 16 y 17) detalla los campos que cada ficha del RAT debe contener. Estos son los 11 campos esenciales:

Diagrama 2 — Los 11 campos obligatorios de una ficha RAT con ejemplo real.

Nombre del tratamiento: identificación clara y única.
Finalidad: para qué se tratan los datos (debe ser específica, no vaga).
Base legal: una de las 6 bases legales de la ley.
Categorías de titulares: ¿quiénes son las personas afectadas? (clientes, empleados, proveedores…).
Categorías de datos: ¿qué tipo de datos se tratan? (identificadores, contacto, financieros, ubicación…).
Datos sensibles: ¿hay datos de salud, biométricos, ideología, vida sexual, origen étnico?
Destinatarios: áreas internas y terceros que reciben los datos.
Transferencias internacionales: ¿los datos salen de Chile? ¿A qué país?
Plazo de retención: cuánto tiempo se conservan antes de eliminarse.
Medidas de seguridad: técnicas y organizativas implementadas.
Encargados de tratamiento: proveedores externos vinculados al proceso.

Ejemplo real: ficha RAT del proceso "Reclutamiento"

Veamos cómo se completa una ficha real para el proceso de reclutamiento de personal:

Campo	Contenido
Nombre	Reclutamiento y selección de personal
Finalidad	Evaluar y seleccionar candidatos para vacantes laborales
Base legal	Consentimiento del postulante (art. 12) + interés legítimo de la empresa (verificar idoneidad)
Titulares	Postulantes a vacantes
Datos	Nombre, RUT, correo, teléfono, CV, historial laboral, referencias, resultados de pruebas
Datos sensibles	No (excepto si el cargo justifica antecedentes penales por excepción legal)
Destinatarios	Equipo de RRHH, jefatura del área que contrata
Transferencia internacional	Sí — el ATS (Workday) aloja en EE.UU. Cláusulas Contractuales Tipo firmadas
Plazo retención	12 meses tras cierre de vacante (no contratados) · indefinido si contratado
Medidas de seguridad	Cifrado en tránsito y reposo, MFA, audit log, control de acceso por rol
Encargados	Workday (ATS) — DPA firmado 2026-03-10 · Empresa A (background check)
Dueño operativo	Gerente de RRHH
Última revisión	15 de mayo de 2026

✅

Esta ficha tarda 30 minutos sin IA, 3 minutos con Confirmer360 Confirmer360 genera el borrador de la ficha completa con IA a partir de una descripción del proceso. Tú revisas, ajustas y apruebas. Lo que tomaba semanas se vuelve un trabajo de horas.

Los 5 errores más comunes al armar un RAT

1. Confundir el RAT con la política de privacidad

La política de privacidad es el documento externo que ven los titulares en tu web. El RAT es el inventario interno de todos los tratamientos. Son cosas distintas y ambas son obligatorias.

2. Finalidades genéricas o ambiguas

"Gestión de clientes" es demasiado vago. Lo correcto es desagregar: "facturación", "atención de reclamos", "newsletter de marketing", "encuesta de satisfacción" son tratamientos distintos con bases legales distintas. Una buena regla: si dos finalidades requieren bases legales diferentes, son tratamientos diferentes.

3. Olvidar los tratamientos "invisibles"

Cámaras de seguridad, control de acceso biométrico, cookies de la web, logs de servidores, grabaciones de call center, geolocalización de flota — todos son tratamientos de datos personales que muchos RAT olvidan.

4. No documentar los encargados

Cada SaaS que usas (HubSpot, Google Workspace, AWS, Salesforce, etc.) es un encargado de tratamiento y debe figurar en las fichas RAT correspondientes con su DPA vinculado.

5. RAT estático que nadie actualiza

Si tu RAT es un Excel que nadie tocó en 6 meses, la Agencia lo detectará al instante. Necesitas un proceso de actualización con dueños asignados y alertas automáticas.

¿Quieres construir tu RAT en semanas, no en meses?

Confirmer360 genera las fichas RAT con IA, mantiene los dueños asignados y te alerta cuando algo cambia. El RAT vivo que la Agencia espera.

Ver el módulo RAT

Mantenimiento: el RAT es un documento vivo

Una vez creado, el RAT debe mantenerse al día. Estas son las situaciones que obligan a una actualización inmediata:

Lanzamiento de un nuevo producto o servicio.
Contratación de un nuevo encargado de tratamiento (proveedor SaaS, agencia, etc.).
Cambio de finalidad de un tratamiento existente.
Nueva categoría de datos recopilada (ej: empezar a pedir geolocalización en la app).
Cambio de país de alojamiento de un sistema (relevante para transferencias internacionales).
Eliminación o cierre de un tratamiento (no se borra del RAT, se marca como descontinuado).

Además, recomendamos una revisión completa cada 6 meses donde el DPO o responsable de privacidad valida con cada dueño que la ficha sigue reflejando la realidad.

Construye tu RAT con IA en Confirmer360

De Excel desordenado a RAT auditable en semanas. Confirmer360 genera fichas con IA, asigna dueños, alerta revisiones y deja todo listo para fiscalización.

Solicitar demo gratuita