Compliance

Registro de Actividades de Tratamiento (RAT): Plantilla y Guía Paso a Paso

10 min de lectura

¿Qué es un Registro de Actividades de Tratamiento (RAT)?

El Registro de Actividades de Tratamiento —conocido como RAT— es el documento central de todo programa de cumplimiento en protección de datos personales. Piénsalo como el inventario maestro que responde a una pregunta simple pero crítica: ¿qué datos personales trata tu organización, por qué, cómo y durante cuánto tiempo?

La Ley 21.719 establece en su artículo 34 la obligación de mantener un registro actualizado de todas las actividades de tratamiento de datos personales que realice una organización. No se trata de una sugerencia ni de una buena práctica opcional: es un requisito legal exigible a partir del 1 de diciembre de 2026, y su incumplimiento puede derivar en multas que van desde las 100 UTM (infracciones leves) hasta las 5.000 UTM para infracciones graves (~$357 millones CLP a junio 2026).

El RAT cumple tres funciones esenciales:

  • Función de accountability (responsabilidad proactiva): Demuestra ante la Agencia de Protección de Datos Personales que tu organización conoce, controla y gestiona conscientemente los datos personales que trata. El principio de responsabilidad del artículo 7° exige poder probar el cumplimiento, no solo afirmarlo.
  • Función operativa: Te da visibilidad real sobre los flujos de datos dentro de tu empresa. ¿Quién recibe los datos de tus clientes? ¿Dónde están almacenados? ¿Cuánto tiempo los conservas? Sin un RAT, estás operando a ciegas.
  • Función de gestión de riesgos: Permite identificar tratamientos de alto riesgo que podrían requerir una Evaluación de Impacto en Protección de Datos (EIPD) conforme al artículo 47, y detectar brechas en tus medidas de seguridad antes de que se conviertan en incidentes.

En términos comparados, el RAT de la Ley 21.719 es funcionalmente equivalente al registro que exige el artículo 30 del GDPR europeo. Si tu empresa ya opera bajo estándares GDPR, gran parte del trabajo estará hecho. Si no, esta guía te lleva paso a paso.

---

¿Qué exige el artículo 34 de la Ley 21.719?

El artículo 34 de la Ley 21.719 establece que el responsable del tratamiento debe mantener un registro de las actividades de tratamiento que lleve a cabo. La norma no prescribe un formato específico —puede ser una planilla, una base de datos, una plataforma digital—, pero sí exige que contenga, como mínimo, los siguientes elementos:

Información obligatoria del RAT

| Campo | Descripción | Ejemplo |

|---|---|---|

| Identidad del responsable | Nombre, RUT y datos de contacto del responsable del tratamiento | Mi Empresa SpA, 76.XXX.XXX-X |

| Identidad del DPO | Nombre y datos de contacto del Delegado de Protección de Datos, si aplica (Art. 50) | Juan Pérez, dpo@miempresa.cl |

| Finalidades del tratamiento | Para qué se tratan los datos personales | Gestión de nómina, marketing directo, atención al cliente |

| Categorías de titulares | Tipos de personas cuyos datos se tratan | Empleados, clientes, proveedores, usuarios web |

| Categorías de datos personales | Tipos de datos recopilados | Nombre, RUT, email, datos de salud, datos financieros |

| Base de licitud | Fundamento legal que autoriza el tratamiento (Art. 3°) | Consentimiento, ejecución contractual, obligación legal, interés legítimo |

| Destinatarios o categorías de destinatarios | A quién se comunican los datos | Proveedor de nómina, plataforma de email marketing, Servicio de Impuestos Internos |

| Transferencias internacionales | Si los datos se transfieren fuera de Chile y a qué país | Servidores AWS en EE.UU., Google Workspace (Irlanda) |

| Plazos de conservación | Cuánto tiempo se conservan los datos antes de ser eliminados | 5 años post-terminación laboral, 2 años post-última compra |

| Medidas de seguridad | Medidas técnicas y organizativas para proteger los datos (Art. 8°) | Cifrado AES-256, control de acceso basado en roles, backups diarios |

¿Quiénes están obligados a mantener un RAT?

La obligación del artículo 34 aplica a todo responsable del tratamiento que trate datos personales en Chile. No existe una excepción por tamaño de empresa. Tanto una multinacional con 5.000 empleados como una PYME con 3 colaboradores que mantenga una base de datos de clientes están obligadas.

La diferencia para las PYMEs radica en las sanciones: durante el período de gracia hasta diciembre de 2027, solo recibirán amonestaciones. Pero eso no cambia la obligación de tener el registro listo el 1 de diciembre de 2026.

> 💡 Dato clave: La Agencia de Protección de Datos Personales puede solicitar tu RAT en cualquier momento durante una fiscalización. No tenerlo equivale a no poder demostrar cumplimiento, y eso automáticamente configura una infracción al principio de responsabilidad (Art. 7°).

---

Qué incluir en tu RAT: Los 10 campos esenciales en detalle

Veamos cada elemento con la profundidad necesaria para que puedas completar tu registro sin dudas.

1. Identificación del responsable y representante legal

Incluye la razón social, RUT, dirección, teléfono y correo electrónico de contacto de la persona jurídica o natural que determina los fines y medios del tratamiento. Si tu empresa pertenece a un grupo económico, identifica también la sociedad matriz cuando sea relevante.

2. Datos del Delegado de Protección de Datos (DPO)

Si tu organización está obligada a designar un DPO conforme al artículo 50 de la Ley 21.719, su nombre y datos de contacto deben figurar en el registro. Incluso si no estás obligado, es buena práctica designar un responsable interno de protección de datos y documentarlo aquí.

3. Descripción de la actividad de tratamiento

Cada actividad debe documentarse como una entrada independiente en el RAT. Por ejemplo:

  • Gestión de recursos humanos: reclutamiento, administración de contratos, nómina, control de asistencia.
  • Marketing y comunicaciones: envío de newsletters, publicidad segmentada, análisis de comportamiento web.
  • Atención al cliente: gestión de reclamos, soporte técnico, encuestas de satisfacción.
  • Videovigilancia: monitoreo de instalaciones con cámaras de seguridad.
  • Analítica web: cookies, tracking de navegación, Google Analytics.

4. Categorías de datos personales

Detalla los tipos específicos de datos que recopilas en cada actividad. Distingue especialmente los datos sensibles (Art. 16 bis), que requieren consentimiento expreso y medidas de seguridad reforzadas:

  • Datos identificativos: nombre, RUT, dirección, foto.
  • Datos de contacto: email, teléfono, dirección postal.
  • Datos financieros: cuenta bancaria, remuneración, historial crediticio.
  • Datos sensibles: salud (licencias médicas, exámenes pre-ocupacionales), afiliación sindical, datos biométricos.
  • Datos de navegación: IP, cookies, identificadores de dispositivo.

5. Categorías de titulares

Identifica los grupos de personas cuyos datos tratas: empleados, clientes, proveedores, postulantes a empleo, visitantes del sitio web, pacientes, alumnos, etc.

6. Finalidades y bases de licitud

Para cada actividad de tratamiento, documenta:

  • Finalidad específica: No basta con "fines comerciales". Sé preciso: "envío de ofertas personalizadas basadas en historial de compras".
  • Base de licitud: ¿Consentimiento del titular (Art. 12)? ¿Ejecución de un contrato (Art. 13)? ¿Cumplimiento de obligación legal (Art. 13 bis)? ¿Interés legítimo (Art. 13 quáter)? Cada actividad debe tener al menos una base legítima documentada.

7. Destinatarios de los datos

Identifica a quién comunicas o compartes los datos: encargados del tratamiento (proveedores que procesan datos por tu cuenta), otras empresas del grupo, entidades reguladoras, plataformas tecnológicas. Incluye la base legal que autoriza cada comunicación.

8. Transferencias internacionales

Si los datos se transfieren fuera de Chile —algo extremadamente común con servicios cloud como AWS, Google Cloud, Microsoft Azure, Salesforce—, debes documentar:

  • País de destino.
  • Entidad receptora.
  • Mecanismo de transferencia (país con nivel adecuado, cláusulas contractuales tipo, consentimiento expreso).

9. Plazos de conservación

Define períodos claros y justificados para cada categoría de datos. Algunos ejemplos comunes:

| Actividad | Plazo sugerido | Justificación |

|---|---|---|

| Datos de nómina | 5 años post-término | Prescripción de acciones laborales (Código del Trabajo) |

| Facturas y datos tributarios | 6 años | Obligación tributaria (Art. 200, Código Tributario) |

| Datos de marketing | 2 años desde última interacción | Proporcionalidad y pertinencia |

| CVs de postulantes no seleccionados | 6 meses a 1 año | Período razonable de reclutamiento |

| Datos de videovigilancia | 30 días | Proporcionalidad (salvo incidentes documentados) |

10. Medidas de seguridad

Documenta las medidas técnicas y organizativas que protejen cada tratamiento, conforme al principio de seguridad del artículo 8°:

  • Técnicas: cifrado en tránsito (TLS) y en reposo (AES-256), control de acceso basado en roles (RBAC), autenticación multifactor (MFA), backups automatizados, firewalls, detección de intrusiones.
  • Organizativas: políticas de uso aceptable, acuerdos de confidencialidad, capacitación periódica al personal, procedimientos de gestión de incidentes, auditorías internas.

---

Guía paso a paso para crear tu RAT

Paso 1: Mapea tus flujos de datos

Antes de documentar nada, necesitas entender qué datos fluyen por tu organización. Reúne a los responsables de cada área —RRHH, marketing, TI, ventas, finanzas, operaciones— y hazles estas preguntas:

  • ¿Qué datos personales recopilan en su departamento?
  • ¿De quién son esos datos (clientes, empleados, proveedores)?
  • ¿Para qué los usan?
  • ¿Con quién los comparten, interna o externamente?
  • ¿Dónde se almacenan?
  • ¿Cuánto tiempo los conservan?

Documenta las respuestas en un formato preliminar. No busques perfección en esta etapa: busca completitud.

Paso 2: Identifica las bases de licitud

Para cada actividad de tratamiento detectada, asigna una base de licitud del artículo 12 y siguientes. Este paso es crucial porque un tratamiento sin base de licitud es, por definición, ilícito, y puede derivar en infracciones graves o gravísimas.

Las bases más comunes son:

  • Consentimiento (Art. 12): Para marketing directo, cookies no esenciales, tratamiento de datos sensibles.
  • Ejecución contractual (Art. 13): Para procesar pedidos, gestionar la relación laboral, prestar servicios contratados.
  • Obligación legal (Art. 13 bis): Para retenciones tributarias, reportes regulatorios, prevención de lavado de activos.
  • Interés legítimo (Art. 13 quáter): Para seguridad informática, prevención de fraude, analítica de negocio (requiere test de balance).

Paso 3: Clasifica los datos por sensibilidad

Separa los datos personales comunes de los datos sensibles (Art. 16 bis). Los datos sensibles —salud, biometría, orientación sexual, opiniones políticas, afiliación sindical, origen étnico, datos genéticos— requieren:

  • Consentimiento expreso del titular.
  • Medidas de seguridad reforzadas.
  • Podrían gatillar la obligación de realizar una EIPD (Art. 47).
  • Podrían gatillar la obligación de designar un DPO (Art. 50).

Paso 4: Documenta las transferencias

Revisa todos tus proveedores tecnológicos y servicios cloud. ¿Los datos de tus clientes viajan a servidores fuera de Chile? Con la proliferación de SaaS, la respuesta casi siempre es . Algunos ejemplos comunes:

  • Google Workspace → Servidores en EE.UU./Irlanda.
  • Hubspot, Mailchimp → Servidores en EE.UU.
  • AWS, Azure → Depende de la región configurada.
  • Slack, Zoom, Notion → Servidores en EE.UU.

Para cada transferencia, verifica el mecanismo legal: ¿el país de destino tiene un nivel adecuado de protección reconocido? ¿Existen cláusulas contractuales tipo?

Paso 5: Define plazos de conservación

Establece políticas claras de retención y eliminación. No guardes datos "por si acaso" ni "para siempre". El principio de proporcionalidad (Art. 5°) exige que los datos se conserven solo durante el tiempo necesario para cumplir la finalidad para la que fueron recopilados.

Crea una tabla de retención con columnas: categoría de datos, plazo de conservación, justificación legal o de negocio, acción al vencimiento (eliminación, anonimización).

Paso 6: Documenta las medidas de seguridad

Para cada actividad de tratamiento, registra las medidas de seguridad técnicas y organizativas implementadas. Sé específico: "medidas de seguridad adecuadas" no le dice nada a un fiscalizador. En cambio, "cifrado AES-256 en reposo, TLS 1.3 en tránsito, RBAC con revisión trimestral de permisos" demuestra que sabes lo que estás haciendo.

Paso 7: Consolida en un formato estructurado

Lleva toda la información a un formato unificado. Puede ser:

  • Una planilla Excel con una pestaña por actividad de tratamiento.
  • Una plataforma digital como datOK que estructura el registro automáticamente.
  • Un documento Word con secciones estandarizadas (no recomendado por dificultad de mantenimiento).

Paso 8: Establece un proceso de actualización

El RAT no es un documento estático que se crea una vez y se guarda en un cajón. Debe actualizarse cada vez que:

  • Se inicia una nueva actividad de tratamiento.
  • Se cambia de proveedor o encargado del tratamiento.
  • Se modifican las finalidades o bases de licitud.
  • Se implementan nuevas medidas de seguridad.
  • Se producen cambios organizacionales relevantes.

Establece una revisión formal al menos cada 6 meses y asigna un responsable claro (idealmente el DPO o el encargado de compliance).

---

Errores comunes al crear un RAT

Estos son los errores que vemos con mayor frecuencia y que debes evitar a toda costa:

1. Ser demasiado genérico

Un RAT que dice "tratamos datos personales de clientes para fines comerciales" no cumple con el artículo 34. Necesitas especificar qué datos, qué finalidades concretas, qué base de licitud, a quién se comunican, cuánto tiempo se conservan.

2. Olvidar los datos de empleados

Muchas empresas se enfocan exclusivamente en los datos de clientes y olvidan que los datos de empleados —nómina, salud ocupacional, control de asistencia biométrica, evaluaciones de desempeño— constituyen actividades de tratamiento que deben registrarse.

3. Ignorar las transferencias internacionales

Si usas Google Workspace, Slack, AWS, Mailchimp o prácticamente cualquier servicio cloud, estás realizando transferencias internacionales de datos. No documentarlas es un error grave que puede derivar en infracciones al artículo 27 y siguientes.

4. No asignar bases de licitud

Cada actividad de tratamiento debe tener una base de licitud documentada. Tratar datos "porque siempre lo hemos hecho así" no es una base de licitud reconocida por la ley. Revisa los artículos 12 a 13 quinquies y asigna la base correcta.

5. Crear el RAT y nunca actualizarlo

Un RAT desactualizado es casi tan malo como no tener uno. Si la Agencia de Protección de Datos verifica que tu registro no refleja la realidad de tus operaciones, pierde toda credibilidad como evidencia de cumplimiento.

6. No vincular el RAT con las medidas de seguridad

El registro no es solo un inventario burocrático. Debe estar integrado con tu estrategia de seguridad de la información. Cada tratamiento de alto riesgo debe tener medidas de seguridad proporcionadas y documentadas.

---

Automatiza tu RAT con datOK

Crear y mantener un Registro de Actividades de Tratamiento manualmente —en planillas Excel, documentos Word, carpetas compartidas— es un proceso propenso a errores, difícil de actualizar y prácticamente imposible de escalar.

datOK automatiza la creación y gestión de tu RAT con:
  • Plantillas pre-configuradas con todos los campos exigidos por el artículo 34 de la Ley 21.719.
  • Catálogos de categorías de datos, bases de licitud y medidas de seguridad para que completes tu registro con selección guiada en lugar de campos en blanco.
  • Alertas de actualización cuando detecta cambios en tus proveedores o actividades.
  • Exportación en formato PDF y digital listo para presentar ante la Agencia de Protección de Datos.
  • Vinculación automática con tu política de privacidad, contratos de encargo y procedimientos de brechas.
  • Plan gratuito para PYMEs que cubre hasta 10 actividades de tratamiento.

No empieces de cero. No pierdas horas armando planillas que nadie actualiza. Deja que la plataforma haga el trabajo pesado.

Crea tu RAT gratuito en datOK →

---

Conclusión

El Registro de Actividades de Tratamiento no es un trámite burocrático más. Es la piedra angular de tu programa de cumplimiento bajo la Ley 21.719 y la primera línea de defensa ante una fiscalización de la Agencia de Protección de Datos Personales.

Con la entrada en vigencia plena el 1 de diciembre de 2026 —a menos de 6 meses—, no hay margen para improvisar. Un RAT bien construido demuestra que tu organización toma en serio la protección de datos, reduce tu exposición a multas (de hasta $1.430 millones CLP para infracciones gravísimas) y te posiciona como una empresa confiable en la economía digital.

Empieza hoy. Mapea tus datos, documenta tus tratamientos, asigna bases de licitud y medidas de seguridad. Y si quieres hacerlo de forma rápida, estructurada y sin errores, datOK está diseñado exactamente para eso.

Comienza gratis en datok.cl →

❓ Preguntas Frecuentes

¿Listo para cumplir la Ley 21.719?

datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.

Crear cuenta gratis

📖 Artículos Relacionados