¿Qué datos manejas? Construye tu Registro de Actividades de Tratamiento sin morir en el intento

Imagínate que tu organización es como una gran biblioteca. Cada dato personal que recolectas —nombre, RUT, correo, dirección, historial médico o incluso una simple fotografía— es un libro que tienes que clasificar, cuidar y justificar por qué está ahí. El problema es que muchas organizaciones siguen metiendo libros sin orden, sin saber cuántos tienen, de quiénes son o si aún deberían estar en sus estanterías. Ahí es donde entra en juego el Registro de Actividades de Tratamiento (RAT), una herramienta que no solo te ayuda a poner orden, sino que ahora es obligación legal bajo la implementación de la nueva Ley 21.719 de Protección de Datos Personales en Chile.

¿Qué es el RAT y por qué debería importarte?

El Registro de Actividades de Tratamiento es, básicamente, una radiografía de cómo, por qué, con qué y para qué estás usando los datos personales. Te ayuda a responder preguntas como: ¿Para qué recolecto estos datos?, ¿Dónde los guardo?, ¿Quién tiene acceso?, ¿Cuánto tiempo los conservo?, ¿Se los paso a alguien más?

Piénsalo así: Si la Agencia de Protección de Datos tocara tu puerta mañana, ¿podrías mostrarle en 5 minutos todos los tratamientos que haces con datos personales? Si la respuesta es no, necesitas empezar tu registro hoy.

5 consejos para construir tu RAT (y no enloquecer en el proceso)

1. Parte por lo obvio: Recursos Humanos

¿Tienes contratos de trabajo? ¿Currículums? ¿Datos de salud para licencias? Esa es una de las áreas más ricas en datos personales. Haz una lista de todas las actividades: selección de personal, gestión de licencias médicas, capacitaciones internas, etc.

2. Pregunta siempre: ¿Para qué hago esto?

Toda actividad debe tener una finalidad específica y legítima. No basta con recolectar datos ‘por si acaso’. Por ejemplo, si usas datos para enviar newsletters, esa es una finalidad distinta a usarlos para emitir facturas.

3. No te olvides de los proveedores externos

¿Tienes un CRM externo? ¿Usas servicios cloud como Google Drive o Dropbox? ¿Trabajas con una agencia de marketing? Todos esos actores pueden ser encargados del tratamiento y deben quedar registrados.

4. Usa herramientas simples (al comienzo)

No necesitas comenzar con una plataforma sofisticada. Un buen Excel con las columnas correctas (actividad, finalidad, base legal, plazo de conservación, medidas de seguridad…) es más que suficiente al principio.

5. Automatiza cuando ya tengas claridad

Una vez que tienes claro tu inventario de tratamientos, puedes migrar tu Excel a una herramienta como Airtable, Google Sheets con formularios o incluso plataformas como OneTrust o TrustArc.

Ejemplo realista: gestión de postulantes

Actividad:Selección de personal
Finalidad: Evaluar candidatos para vacantes laborales
Base legal: Medidas precontractuales
Datos:Nombre, RUT, CV, referencias
Plazo de conservación: 2 años desde fin del proceso
Encargados: Portal de empleo externo
Seguridad:Carpeta restringida, cifrado, eliminación periódica

Tener un RAT no es solo cumplir la ley. Es demostrar que manejas los datos con seriedad, que cuidas la privacidad de tus clientes, usuarios o trabajadores, y que tu organización puede dormir tranquila ante una fiscalización. Es, literalmente, tu seguro de vida digital.

¿Te animas a empezar el tuyo?

Puedes descargar una plantilla en Excel o usar herramientas como Google Sheets, Notion o plataformas especializadas. Pero lo importante es que partas.
Y recuerda: mejor registrar de más que quedarse corto.