¿Qué es el RAT?
El Registro de Actividades de Tratamiento es, sin lugar a duda, la brújula que guiará el cumplimiento normativo de su empresa frente a la nueva Ley de Protección de Datos Personales (Ley 21.719). Frecuentemente, se comete el error de asumir que este registro es un mero trámite burocrático o un documento legal más que debe firmarse y archivarse. Para despejar cualquier duda, a continuación explicamos su impacto real y estratégico en el negocio y Ejemplos de RAT.
1. El RAT en la Teoría: Las exigencias legales
En términos estrictamente jurídicos y según el reglamento de la nueva ley, el RAT es un instrumento fundamental que constituye el corazón de los Modelos de Prevención de Infracciones o programas de compliance. En teoría, es un registro formal que debe caracterizar detalladamente todas las operaciones que su empresa realiza con la información nominativa.
Para cumplir con el estándar normativo, este registro debe responder a preguntas clave y contener, al menos, la siguiente información por cada proceso:
Qué datos se tratan: Indicar el tipo de datos personales, especificando expresamente si se incluyen datos sensibles o categorías especiales (como la huella dactilar o datos de salud).
Para qué se utilizan: Los fines concretos y específicos de las operaciones de tratamiento.
Por qué es lícito tenerlos (base de licitud): Cuál es la fuente de procedencia de los datos y su «base de licitud» legal (si se procesan porque se cuenta con el consentimiento del cliente, por la ejecución de un contrato o por un interés legítimo).
Con quién se comparten: Las categorías de terceros a quienes se prevé comunicar o ceder los datos, incluyendo si se realizan transferencias internacionales a servidores en el extranjero.
Cuánto tiempo se resguardan: Los plazos o condiciones previstos para la eliminación o supresión definitiva de la información.
Decisiones automatizadas: Se debe declarar si se utilizan los datos para tomar decisiones automáticas o para la elaboración de perfiles comerciales, detallando la lógica aplicada.
En la teoría legal, si la Agencia de Protección de Datos Personales fiscaliza su entidad, el RAT será exigido para comprobar que actúa con responsabilidad proactiva.
2. El RAT en la Práctica: El inventario de su «bodega»
La teoría puede sonar compleja, pero en la práctica el RAT es un mapa operacional transversal que une a todas las áreas de su negocio. Para entenderlo de forma didáctica, imagine que su empresa es una gran bodega: durante años, los departamentos de Recursos Humanos, Ventas, Marketing y TI han estado almacenando cajas (datos) sin etiquetarlas correctamente. Nadie sabe con certeza qué hay al fondo, a quién pertenecen esas cajas ni cuál es su utilidad. Elaborar el RAT en la práctica significa entrar a esa bodega, abrir caja por caja, limpiar e inventariar su activo más valioso.
Para desarrollar este levantamiento en el mundo real, es necesario seguir estos pasos estratégicos:
Crear un glosario común: El primer obstáculo es el idioma corporativo. El primer paso práctico es lograr que toda la empresa comparta los mismos conceptos y entienda qué significa exactamente un dato personal.
Asignar Responsables: El RAT no puede ser tarea exclusiva del departamento legal; de ser así, el proyecto podría fracasar. Se debe dividir la empresa por áreas (Recursos Humanos, Producto, Marketing, etc.) y nombrar a un líder en cada una. Esa persona será la responsable de mapear qué datos entran, cómo se usan y por dónde salen en su respectivo departamento.
De lo macro a lo micro: Lo ideal es que en este Registro exista rigurosidad y detalle. Sin embargo, el proceso de gestión es sumamente complejo, por lo tanto, no se recomienda intentar identificar algo tan específico como la cédula de identidad de cada personal cuando se está recién comenzado. En la práctica, se debe iniciar identificando los procesos generales (por ejemplo, «campaña de correos de marketing» o «control biométrico de asistencia») para luego descender al detalle paulatinamente.
3. El Gran Riesgo Operativo: El «RAT de papel»
Un error gravísimo en la práctica empresarial es creer que el RAT es un archivo Excel gigante que se llena una vez, genera decenas de versiones desactualizadas donde nadie sabe quién modificó qué columna, y luego se abandona en una carpeta compartida.
Para que el modelo funcione verdaderamente, el RAT debe ser una herramienta en movimiento. Esto significa que, en el día a día, si su empresa decide lanzar un nuevo producto, contrata un nuevo software en la nube o planea una campaña de ventas, el RAT debe revisarse y actualizarse antes de ejecutar la acción. Un RAT integrado en sus comités de trabajo deja de ser una carga burocrática y se transforma en una ventaja competitiva, permitiéndole identificar riesgos y tomar decisiones comerciales más rápidas, eficientes y bajo un control absoluto.
4. Ejemplos prácticos de procesos que debe inscribir y gestionar en su RAT
Para entender la transversalidad de esta obligación, a continuación presentamos casos concretos de distintas áreas de una empresa que deben estar documentados en el registro:
1. Envío de campañas de correos de marketing o newsletters: Si su área de marketing envía correos masivos con promociones, el RAT debe identificar esta actividad, señalando qué datos utiliza (como nombre y correo electrónico), el departamento responsable (owner) de la campaña y la base de licitud legal que le permite hacerlo, como por ejemplo, el consentimiento previo y explícito del titular.
2. Control de asistencia laboral con biometría: Si utiliza huellas dactilares o reconocimiento facial para marcar la entrada y salida de sus trabajadores, esto constituye un tratamiento de datos altamente sensibles. En su RAT debe registrar esta actividad, evaluando los riesgos, justificando la proporcionalidad de la medida y asegurando que cuenta con el consentimiento expreso de los empleados frente a alternativas menos intrusivas.
3. Gestión de compras y despachos en E-commerce: Para procesar una compra online, su empresa recopila datos como la dirección, el nombre y el medio de pago. El RAT documentará que la finalidad es netamente comercial (ejecutar el contrato de compraventa) y señalará a qué terceros les comunica o cede esos datos, como a la empresa de logística encargada exclusivamente de despachar el producto al domicilio del cliente.
4. Almacenamiento de bases de datos en la nube (Cloud Computing): Si aloja la información de sus clientes en servidores externos o en la nube (como Amazon Web Services o Google Cloud), su RAT debe reflejar que ese proveedor tecnológico actúa jurídicamente como su «encargado de tratamiento» o mandatario. Si esos servidores están ubicados fuera de Chile, debe registrarlo expresamente como una operación de «transferencia internacional de datos», indicando el país de destino y confirmando que existen garantías de seguridad adecuadas.
5. Administración de fichas clínicas en un centro de salud: Si dirige una clínica o centro médico, trata datos de salud que la ley califica como sensibles y de alto riesgo. El RAT de esta actividad es fundamental y debe detallar las medidas de seguridad reforzadas adoptadas (como la seudonimización o encriptación), los estrictos controles de acceso al personal y los plazos de conservación para resguardar la confidencialidad absoluta del paciente.
6. Evaluación de riesgo comercial o financiero (Scoring): Si su empresa evalúa el comportamiento de pago de un cliente para decidir si le otorga un crédito comercial, el RAT debe caracterizar detalladamente este tratamiento. Si utiliza procesos de inteligencia artificial o toma decisiones individuales automatizadas para elaborar estos perfiles financieros, debe registrar y explicar de manera significativa la lógica matemática aplicada y las consecuencias de dicho perfilamiento para el titular.
7. Captación de imágenes mediante videovigilancia (CCTV): La instalación de cámaras de seguridad en sus sucursales o lugares de trabajo captura la imagen física de las personas, lo cual es considerado un dato personal y eventualmente biométrico. Su RAT debe documentar esta actividad justificando que su finalidad estricta es la seguridad de las instalaciones y previniendo, mediante un análisis, que la medida no sea desproporcionada o una intromisión ilegítima en la esfera íntima de los trabajadores o clientes.
8. Procesamiento de datos de menores de edad en la educación: Si administras un colegio o una universidad, tratas continuamente datos de niños, niñas y adolescentes, los cuales poseen un estándar de protección reforzada bajo la nueva ley. El RAT debe reflejar la forma en que se obtiene el consentimiento otorgado por los padres o representantes legales, así como detallar la prohibición absoluta de ceder esta información a terceros sin justificación legal.
9. Desarrollo tecnológico de una nueva aplicación móvil: Antes de lanzar un nuevo producto al mercado, como una «app» deportiva o de vida sana, el RAT le sirve para aplicar el deber de «protección desde el diseño». Aquí inventariará previamente qué datos solicitará su aplicación (ej. hábitos de sueño, geolocalización o peso corporal), con qué fines específicos los recopilará y establecerá las medidas de configuración predeterminada para que nazca con la máxima privacidad posible.
Recomendamos leer El estándar mínimo de un modelo de prevención de infracciones
