El RAT: el mapa que toda empresa necesita para proteger sus datos
Gustavo Padilla Smolianovich
Creado el 14 de abril de 2026
⌛ Tiempo de lectura estimado: 5 minutos
Contexto
La nueva Ley de Protección de Datos Personales exige que las empresas puedan demostrar que cumplen con la ley. Eso incluye saber qué datos personales manejan, para qué los usan, quién los ve y cuánto tiempo los guardan.
Suena razonable. Pero en la práctica, muchas empresas —sobre todo PYMEs— no tienen esa claridad. Los datos están repartidos entre sistemas, planillas, correos, WhatsApp y plataformas en la nube, sin que nadie tenga una visión completa de todo.
El Registro de Actividades de Tratamiento —conocido como RAT— es la herramienta que resuelve ese problema.
¿Qué es el RAT?
El RAT es un documento interno —puede ser tan simple como una tabla en Excel— donde la empresa registra todos sus tratamientos de datos personales. Cada fila representa una actividad distinta que involucra datos de personas: gestionar clientes para facturación, administrar la nómina de trabajadores, enviar campañas de marketing por correo o registrar el acceso a las instalaciones mediante cámaras de seguridad.
No es un formulario que se presenta ante la Agencia de Protección de Datos, es un documento que la empresa mantiene disponible por si ésta solicita. Su función principal no es cumplir un trámite: es que tú mismo sepas qué datos tienes y qué haces con ellos. A partir de ahí, todo lo demás —políticas de privacidad, respuesta a solicitudes de personas, evaluación de riesgos— se vuelve mucho más fácil.
Aunque la ley no lo exige como documento obligatorio con ese nombre (solo es obligatorio para quienes deseen certificar su Modelo de Prevención de Infracciones ante la Agencia de Protección de Datos), sí exige que el responsable pueda acreditar la licitud de sus tratamientos, mantenga información pública sobre ellos y demuestre cumplimiento. El RAT es la forma más práctica de cumplir todas esas obligaciones de una sola vez.
Un ejemplo concreto
Imagina una empresa de suministros de oficina. Vende a empresas y a personas naturales. Tiene una base de clientes en Excel, un sistema de facturación, una planilla de trabajadores, conversaciones con clientes por WhatsApp y una cuenta en Mailchimp (plataforma de envío masivo de correos) desde donde manda ofertas periódicas.
Cada uno de esos sistemas tiene datos personales. Algunos datos están duplicados entre sistemas. Algunos llevan años guardados sin que nadie los haya revisado. En varios no está claro quién tiene acceso.
Si hoy la Agencia le preguntara a esa empresa cuáles son sus tratamientos de datos, ¿podría responder con precisión? ¿En cuánto tiempo? ¿Con qué nivel de detalle?
El RAT es la herramienta que hace posible esa respuesta.
¿Cómo se construye?
El método es simple: recorre los sistemas y procesos de tu empresa haciéndote una sola pregunta en cada uno: ¿hay aquí datos de personas? Si la respuesta es sí, ese sistema genera al menos una fila en el RAT.
En una PYME, los puntos de partida más comunes son:
• Base de clientes: CRM, Excel o base de datos propia.
• Sistema de facturación: datos de clientes en boletas y facturas.
• Correo electrónico: conversaciones con datos de clientes, proveedores o postulantes.
• WhatsApp: conversaciones con clientes o trabajadores.
• Planilla de trabajadores: RUT, remuneraciones, datos de contacto, licencias.
• Plataformas de correo masivo: Mailchimp u otras, donde tienes listas de contactos para campañas.
• Formularios físicos: fichas de clientes o formularios de contacto en papel.
• Cámaras de seguridad: si graban personas, son un tratamiento de datos.
No se trata de ser exhaustivo desde el día uno. Empieza con los tratamientos más obvios y más relevantes para tu negocio y sigue completando con el tiempo. Un RAT incompleto pero real es infinitamente mejor que ninguno.
¿Qué columnas necesita el RAT?
No existe un formato único obligatorio. Una plantilla funcional para una PYME puede ser una tabla simple con al menos estas columnas:
1. Tipo de datos personales: qué categorías de datos se tratan, indicando si incluye datos sensibles o de categorías especiales (salud, origen étnico, religión, etc.).
2. Ámbito territorial: dónde se realiza el tratamiento (en Chile, en el extranjero, o en ambos).
3. Tipo de base de datos: cómo está organizada la información (base de clientes, expedientes de trabajadores, registros de proveedores, etc.).
4. Categorías de titulares: qué tipo de personas son los afectados (clientes, trabajadores, proveedores, etc.).
5. Finalidad: para qué se usan esos datos.
6. Fuente u origen: de dónde provienen los datos y si proceden de fuentes de acceso público.
7. Base legal: qué justificación legal ampara el tratamiento (consentimiento, contrato, obligación legal, interés legítimo, etc.). Si es interés legítimo, debe especificarse cuál.
8. Terceros destinatarios: a quiénes se comunican o ceden los datos, incluyendo destinatarios en otros países u organizaciones internacionales.
9. Transferencias internacionales: si los datos se transfieren fuera de Chile, a qué país u organización, y cómo se cumple con los requisitos legales para ello.
10. Plazo de conservación: cuánto tiempo se guardan los datos o bajo qué condiciones se eliminan.
11. Decisiones automatizadas: si ese tratamiento incluye decisiones tomadas por algoritmos sin revisión humana (como perfiles automáticos), con información sobre la lógica aplicada y las consecuencias para el titular.
¿Cuándo actualizarlo?
El RAT no es un documento que se hace una vez y se archiva. Debe mantenerse vivo:
• Cuando empiezas a usar un nuevo sistema o plataforma que trata datos.
• Cuando cambias la finalidad de un tratamiento existente.
• Cuando contratas o cambias de proveedor que accede a datos personales.
• Como mínimo, una revisión completa una vez al año.
Por qué vale la pena empezar hoy
El RAT no es burocracia. Es el mapa que hace posible todo lo demás: construir tu política de privacidad, responder solicitudes de personas sobre sus datos, demostrar cumplimiento ante la Agencia y detectar riesgos antes de que se conviertan en problemas.
Una empresa que sabe exactamente qué datos tiene, para qué los usa, quién los ve y cuánto tiempo los guarda está en una posición completamente distinta a una que no lo sabe. Y esa diferencia se nota, tanto ante una fiscalización como ante un cliente exigente que pregunta cómo manejas su información.
¿Quieres construir tu RAT fácilmente?
Registra y gestiona todos tus tratamientos de datos en una plataforma simple y guiada, diseñada para PYMEs.