top of page
Buscar

RAT Registro de Actividades de Tratamiento: el mapa que muchas empresas hacen tarde

  • Foto del escritor: Roberto Osorio
    Roberto Osorio
  • hace 21 horas
  • 8 min de lectura

Una empresa puede tener políticas, contratos, formularios con casillas de aceptación y un CRM aparentemente ordenado. Puede haber revisado su sitio web, actualizado algunos textos legales y conversado el tema en reuniones internas. Aun así, cuando alguien pregunta qué datos personales trata, dónde están, para qué se usan y quién accede, la respuesta suele quedar repartida entre varias áreas.


Legal conoce una parte. TI conoce otra. Marketing recuerda algunos formularios. Ventas entiende el CRM. Operaciones sabe qué planillas siguen circulando porque las usa todos los días. Recursos Humanos tiene sus propios flujos, proveedores y archivos. El Registro de Actividades de Tratamiento, conocido muchas veces como RAT, aparece justo en ese punto: cuando la empresa necesita dejar de mirar sus datos como archivos aislados y empezar a entenderlos como actividades reales.


La Ley 21.719 regula la protección y el tratamiento de los datos personales en Chile y crea la Agencia de Protección de Datos Personales. Su entrada en vigencia diferida está fijada para el 1 de diciembre de 2026, por lo que las organizaciones tienen una ventana concreta para prepararse. El desafío no está solo en escribir políticas; está en poder explicar cómo se tratan los datos dentro de la operación real de la empresa.


Registro de Actividades de Tratamiento y mapa de datos personales en una empresa chilena.

El RAT no debería ser una lista de software


El primer error es tratar el RAT como un inventario de herramientas. Anotar CRM, ERP, plataforma de mailing, formularios, planillas y sistema de soporte puede servir como punto de partida, pero deja fuera lo más importante. Un sistema puede participar en varios tratamientos distintos, y un mismo tratamiento puede pasar por varias herramientas antes de llegar a su destino final.


Una actividad comercial, por ejemplo, puede capturar datos en un formulario, almacenarlos en un CRM, moverlos a una plataforma de automatización, exportarlos a una planilla y terminar en un proveedor externo. Si el registro solo enumera sistemas, la empresa tendrá una foto incompleta. El dato no se entiende mirando únicamente dónde está guardado. Se entiende siguiendo su recorrido.


Un RAT útil debería responder preguntas concretas: qué actividad usa datos personales, qué datos se tratan, con qué finalidad, quién participa, qué sistemas intervienen, qué proveedores reciben información, cuánto tiempo se conservan los datos, qué controles existen y cómo se responde ante solicitudes de los titulares. Ese nivel de claridad conecta directamente con lo que ya trabajamos en el artículo sobre cómo demostrar cumplimiento de la Ley 21.719 sin quedarse solo en documentos.



El registro útil parte desde la actividad


Pensemos en una empresa de retail. “Club de beneficios” puede sonar como un sistema, una campaña o una base de clientes. En realidad puede involucrar varias actividades distintas: captar inscritos, enviar comunicaciones, segmentar clientes, gestionar beneficios, coordinar alianzas, responder consultas y tramitar solicitudes de eliminación.


Cada una de esas actividades puede tratar datos distintos y tener riesgos distintos. La inscripción puede pedir nombre, correo, teléfono y RUT. La segmentación puede usar historial de compras. Las comunicaciones pueden depender de una plataforma externa. La baja del club puede requerir eliminar o bloquear registros en más de un sistema.


Si todo queda registrado bajo una etiqueta genérica como “CRM” o “base de clientes”, el mapa queda débil. El RAT debería construirse desde los procesos reales de la empresa, con el mismo lenguaje que usan las áreas para trabajar, vender, atender, informar y operar. Ese enfoque se conecta con el análisis que hicimos sobre clubes de beneficios y Ley 21.719 en retail, donde se ve con claridad cómo una herramienta comercial puede transformarse en un desafío de datos.


Qué debería contener un RAT bien construido


Un Registro de Actividades de Tratamiento no necesita partir perfecto. Sí necesita partir con criterio. La empresa debería ser capaz de identificar la actividad, el área responsable, la finalidad del tratamiento, las categorías de titulares, los tipos de datos tratados, los sistemas utilizados, los proveedores involucrados, la base de licitud, el plazo de conservación, las medidas de seguridad, los controles de acceso, la forma de responder derechos del titular y las evidencias disponibles.


La pregunta central es práctica: ¿este registro ayuda a operar mejor o solo existe para decir que existe? Si no ayuda a tomar decisiones, revisar accesos, responder solicitudes o identificar riesgos, el documento pierde valor. Puede estar bien presentado, pero no sirve para gestionar.


Un RAT bien construido permite mirar la empresa con más precisión. Ayuda a distinguir qué actividades concentran más datos, qué áreas dependen de más proveedores, qué formularios piden información innecesaria y qué sistemas quedan más expuestos cuando cambia la operación.


La diferencia entre un RAT formal y un RAT operativo


Un RAT formal se completa una vez y queda guardado. Un RAT operativo se consulta, se actualiza y ayuda a decidir. Sirve cuando un área quiere crear un nuevo formulario, cuando marketing prepara una campaña, cuando TI integra una plataforma, cuando un cliente pide eliminar sus datos o cuando alguien pregunta quién tiene acceso a una base.


Ese cambio es importante. El registro deja de ser un archivo de cumplimiento y se convierte en una herramienta de gestión. Permite que las áreas conversen con una base común y que las decisiones sobre datos no dependan de memoria, suposiciones o respuestas improvisadas.


Si tu organización todavía está en una etapa inicial, conviene revisar antes el checklist de la Ley 21.719 para empresas en Chile y la guía para preparar tu empresa para la Ley 21.719. Esos contenidos ayudan a ordenar el punto de partida antes de entrar al detalle de cada actividad de tratamiento.


El RAT revela desorden que estaba normalizado


Cuando una empresa levanta su registro, suelen aparecer hallazgos incómodos. No siempre son fallas graves ni situaciones extraordinarias. Muchas veces son prácticas que se fueron instalando con el tiempo y que nadie volvió a revisar: un formulario que pide más datos de los necesarios, una plataforma de mailing conectada hace años, un proveedor que recibe información sin una revisión reciente o un acceso que quedó activo después de un cambio de cargo.


Suelen aparecer planillas que todos usan porque “siempre se hizo así”, registros de clientes duplicados entre áreas o flujos que nacieron como soluciones rápidas y terminaron formando parte de la operación. Ninguna de esas situaciones aparece con claridad cuando el trabajo se limita a revisar políticas. Aparecen cuando alguien sigue el recorrido real del dato.


Por eso el RAT tiene valor antes de cualquier fiscalización. Ayuda a mirar cómo funciona la empresa cuando nadie está mirando y permite distinguir entre lo que la organización cree que ocurre y lo que realmente pasa en sus procesos diarios.


Formularios, leads y campañas: donde el RAT suele partir mal


En muchas empresas, las actividades de tratamiento nacen en puntos pequeños: una landing, un formulario de contacto, una campaña, una activación, un lead importado, un cupón o un registro a un evento. Cada uno parece menor por separado, pero todos pueden transformarse en entradas de datos personales que luego circulan por distintos sistemas.


El dato entra por un flujo rápido y después empieza a moverse. Puede llegar al CRM, pasar a una plataforma de email marketing, ser exportado a una planilla, quedar disponible para un equipo comercial o terminar en manos de un proveedor externo. Si esa captura inicial no queda bien descrita, el resto del registro arrastra el error.


El RAT debería permitir ver qué datos se piden, con qué finalidad, qué aceptación se obtuvo y hacia dónde viaja esa información. Este punto se conecta directamente con el artículo sobre formularios, leads y bases de datos frente a la Ley 21.719 y con el contenido sobre documento de aceptación de uso de datos.


Accesos: el campo que muchas empresas subestiman


Un RAT que no conversa con los accesos queda incompleto. Saber qué datos se tratan importa. Saber quién puede verlos importa igual. El registro debería ayudar a identificar si una actividad requiere acceso total, acceso parcial, datos anonimizados, datos seudonimizados o simplemente una referencia operativa.


Aquí aparece una decisión concreta. No todas las personas necesitan ver todos los datos para cumplir su trabajo. Ese criterio debería reflejarse en el RAT y después en la operación diaria, porque de nada sirve que el registro declare una finalidad correcta si demasiadas personas tienen acceso a información que no necesitan.


Si este punto todavía no está ordenado, el artículo sobre control de acceso a datos personales dentro de una empresa funciona como pieza complementaria para revisar permisos, roles y criterios de acceso.


Eliminación y conservación: el RAT como prueba de realidad


Cuando un cliente pide eliminar sus datos, el RAT debería ayudar. Si el registro está bien construido, la empresa puede identificar qué actividades usan esos datos, qué sistemas participan, qué proveedores podrían tener una copia y qué restricciones legales o contractuales aplican.


Sin ese mapa, la eliminación queda expuesta a revisiones manuales. Alguien borra en el CRM, otra persona revisa una planilla, otro equipo pregunta por el proveedor y alguien más busca respaldos. El proceso se vuelve lento, difícil de demostrar y más vulnerable a errores.


Por eso el RAT se conecta naturalmente con el artículo sobre qué pasa si un cliente pide eliminar sus datos y con el contenido sobre datos personales que una empresa cree haber eliminado, pero siguen apareciendo. Ambos casos muestran que la eliminación no se resuelve solo al borrar un registro visible.


El RAT debe tener dueño


Cuando todos son responsables, el registro tiende a quedar quieto. Una empresa puede levantar el primer RAT con apoyo legal, tecnológico o consultivo, pero luego necesita una forma interna de mantenerlo actualizado. Cada nuevo formulario, integración, proveedor, campaña o cambio relevante en el tratamiento de datos debería abrir una revisión.


El RAT no puede depender de una persona que “se acuerda”. Debe quedar incorporado al modo en que la empresa crea, modifica y cierra procesos. Si se actualiza solo una vez al año, probablemente llegará tarde a varias decisiones importantes.


En la práctica, esto exige coordinación entre legal, tecnología, operaciones, marketing, ventas, recursos humanos y las áreas que tratan datos todos los días. El responsable formal puede estar definido, pero el registro se sostiene con disciplina operativa.


Cómo empezar sin sobrediseñar


Una empresa no necesita mapear todo con máxima sofisticación el primer día. Puede partir con las actividades de mayor exposición: clientes y ventas, formularios web, marketing y comunicaciones, recursos humanos, proveedores, soporte, club de beneficios y sistemas con datos sensibles.


El objetivo inicial es claridad. Después vendrá la madurez. Un buen primer ejercicio consiste en elegir una actividad y seguir el dato completo: dónde nace, qué se pide, quién lo recibe, dónde se guarda, qué sistema lo mueve, quién accede, cuándo debería eliminarse y qué evidencia queda.


Si la empresa no puede completar ese recorrido con seguridad, el RAT ya encontró su primer hallazgo útil. Ese hallazgo vale más que una planilla perfecta, porque muestra dónde la organización necesita ordenar su operación.


Qué debería revisar Datactil en una evaluación


En una evaluación tecnológica y operativa, el RAT sirve como punto de entrada para mirar la empresa con más precisión. El análisis no debería partir desde una plantilla, sino desde el flujo real de información.


En Datactil revisaríamos qué actividades concentran mayor volumen de datos, qué formularios generan más exposición, qué sistemas participan en más tratamientos, qué accesos requieren ajuste, qué proveedores deben ser revisados y qué procesos dependen todavía de planillas. Esa mirada permite separar lo que puede resolverse con criterio operativo de lo que requiere integración, automatización o arquitectura.


El resultado esperado no es una carpeta más. Es un plan de trabajo que permita avanzar en cumplimiento, trazabilidad y control sin frenar la operación.


Cuándo un RAT empieza a ser insuficiente


Hay organizaciones donde el registro es solo el primer paso. Empresas con alto volumen de datos, múltiples sistemas, retail, plataformas digitales, automatizaciones o integraciones pueden necesitar una capa adicional de control.


Ahí entran conversaciones más técnicas: trazabilidad, tokenización, control granular de acceso, automatización de solicitudes, reducción de exposición y bóveda de datos. El RAT ayuda a identificar dónde se requiere esa capa y qué datos deberían dejar de circular por sistemas que no necesitan verlos.


Ese puente es importante para conectar este contenido con el artículo sobre tokenización de datos en Chile, especialmente cuando los datos sensibles circulan por más sistemas de los necesarios.


Pregunta de cierre


Si hoy alguien pide el mapa de tratamientos de tu empresa, ¿mostrarías un documento o podrías explicar cómo circulan los datos en la práctica?


Esa diferencia marca el nivel real de preparación.


Evalúa tu proyecto con Datactil

En Datactil ayudamos a empresas a convertir esta revisión en un plan concreto. Trabajamos desde la operación real: formularios, CRM, accesos, automatizaciones, proveedores, integraciones, trazabilidad y arquitectura de datos.


Si tu empresa necesita construir o revisar su Registro de Actividades de Tratamiento con una mirada técnica y práctica, puedes partir aquí:


bottom of page