✅ 100% Gratis · Sin registro

Registro de Actividades de Tratamiento (RAT)

Art. 14 quinquies, Ley 21.719 · Templates por industria · Descarga PDF y CSV

Datos de la empresa responsable

Razón social o nombre*

RUT

¿Quieres empezar con un template?

Elige tu industria para pre-cargar actividades típicas, o empieza desde cero.

↑ Ingresa el nombre de tu empresa para continuar

¿Qué es el RAT y qué exige la Ley 21.719?

El Registro de Actividades de Tratamiento (RAT) es el inventario interno que exige el Art. 14 quinquies de la Ley N° 21.719. A diferencia de la Política de Privacidad —que es un documento público dirigido a los titulares de datos—, el RAT es un documento interno que demuestra ante la Agencia de Protección de Datos Personales (APDP) que tu empresa tiene un conocimiento claro, ordenado y actualizado de todos los datos personales que trata, con qué finalidad y con qué garantías los protege.

Esta es una diferencia importante respecto al RGPD europeo: la Ley 21.719 es nueva (publicada en 2024) y la mayoría de las empresas chilenas viene de la antigua Ley 19.628 de 1999, que no exigía ningún RAT. Esto significa que la gran mayoría de las pymes está empezando desde cero. El generador de PrivacidadWeb facilita este proceso con plantillas predefinidas por industria (e-commerce, clínica, colegio, restaurante, servicios profesionales) que puedes personalizar y exportar como PDF o CSV.

La APDP puede solicitar el RAT en cualquier momento, incluso sin que exista una denuncia previa. Mantenerlo actualizado y disponible es la diferencia entre una advertencia y una multa por infracción grave de hasta 10.000 UTM (Art. 35).

¿Qué debe registrarse en el RAT?

Para cada actividad de tratamiento (gestión de clientes, nómina, newsletter, reservas, etc.) debes documentar los siguientes campos:

Nombre de la actividad — descripción clara del tratamiento: "gestión de clientes", "nómina de empleados", "envío de newsletter".
Categorías de datos — personales básicos (nombre, RUT, email), sensibles (salud, biométricos, etnia, religión), financieros o de navegación. Los datos sensibles requieren documentación especial conforme al Art. 2° letra g) de la ley.
Titulares — a quiénes pertenecen los datos: clientes, empleados, proveedores, usuarios web, pacientes.
Finalidad — propósito concreto y específico del tratamiento, no genérico.
Base legal — consentimiento, ejecución de contrato, obligación legal o interés legítimo, según corresponda.
Destinatarios — proveedores, plataformas o terceros a quienes se comunican los datos.
Transferencias internacionales — si aplica, país de destino y mecanismo de protección.
Plazo de conservación — cuánto tiempo se guardan los datos antes de eliminarlos o anonimizarlos.
Medidas de seguridad — cifrado, control de acceso, pseudonimización, backups y otras protecciones técnicas.

¿Qué tipo de empresas necesitan un RAT?

Toda organización que trate datos personales de personas naturales en Chile —sin importar su tamaño— necesita un RAT. Algunos ejemplos concretos:

Clínicas y consultorios médicos — tratan datos de salud, la categoría más sensible de la ley.
Colegios y establecimientos educacionales — gestionan datos de menores y sus familias.
Tiendas online — recopilan datos de compra, pago y comportamiento de navegación.
Estudios contables — manejan RUT y datos financieros de sus clientes.
Cualquier empresa con empleados — los datos de RRHH (sueldo, salud previsional, asistencia) son datos personales que también deben registrarse.

Diferencia entre RAT, Política de Privacidad y Consentimiento

Son tres instrumentos complementarios, no intercambiables. Cada uno cumple una función distinta:

RAT — documento interno de evidencia. Lo pide la APDP en una fiscalización para verificar que conoces y controlas tus propios tratamientos.
Política de Privacidad — documento público informativo. Va dirigido a los titulares de datos para que sepan cómo usas su información.
Consentimiento — mecanismo de autorización. Se usa solo cuando la base legal del tratamiento es el consentimiento del titular (Art. 12).

Un negocio que cumple plenamente necesita los tres. Si aún no tienes tu política de privacidad, comienza por ahí antes de completar el RAT: te ayudará a identificar todos los tratamientos que luego deberás registrar.

Preguntas frecuentes

¿Qué es el Registro de Actividades de Tratamiento (RAT)?

El RAT es un inventario interno obligatorio donde documentas todos los tratamientos de datos personales de tu empresa. Para cada actividad —gestión de clientes, nómina, newsletter, reservas— registras qué datos tratas, para qué finalidad, la base legal, quién los recibe, cuánto tiempo los conservas y qué medidas de seguridad aplicas. Es el documento principal de evidencia de cumplimiento ante la APDP.

¿Es obligatorio el RAT para pequeñas empresas y Pymes?

El Art. 14 quinquies de la Ley 21.719 establece la obligación de mantener un registro actualizado para los responsables del tratamiento. Si bien la reglamentación puede contemplar simplificaciones para microempresas, se recomienda llevarlo para cualquier negocio que trate datos de clientes o empleados: es la única forma de demostrar cumplimiento ante una fiscalización o denuncia.

¿Con qué frecuencia debo actualizar el RAT?

Debes actualizarlo cada vez que incorpores un nuevo tratamiento: un nuevo CRM, una herramienta de email marketing, un proveedor cloud nuevo, o cuando cambies la finalidad de un tratamiento existente. Se recomienda una revisión formal al menos dos veces al año y siempre que realices cambios tecnológicos significativos en tu empresa.

¿Quién debe mantener el RAT en mi empresa?

La responsabilidad recae en el Responsable del Tratamiento, que en una pyme generalmente es el dueño o gerente. En empresas más grandes puede delegarse a un encargado de privacidad o al área de tecnología. Lo importante es que exista una persona responsable de mantenerlo actualizado y que esté disponible ante una solicitud de la APDP.

¿Qué pasa si la APDP me fiscaliza y no tengo RAT?

No tener el RAT, o tenerlo desactualizado, puede ser calificado como infracción grave por la APDP, sancionable con hasta 10.000 UTM (Art. 35, Ley 21.719). Además, sin RAT es imposible demostrar que conoces los datos que tratas y que los proteges adecuadamente, lo que agrava la situación ante cualquier incidente o denuncia de un titular.

📄

Política de PrivacidadPopular

Genera tu política personalizada para web

→✅

Formulario de Consentimiento

Texto legal para tus formularios web

→📬

Protocolo ARCOP

Procedimiento para atender solicitudes de titulares

→🔒

Protocolo de Brechas

Plan de acción ante filtración de datos

→

Aviso legal

PrivacidadWeb.cl es una herramienta tecnológica que genera templates y documentos orientativos basados en los requisitos de la Ley N° 21.719 de Protección de Datos Personales de Chile. Los documentos generados son borradores que deben ser revisados y adaptados a la situación particular de cada empresa. Esta herramienta NO constituye asesoría legal, NO reemplaza la consulta con un abogado especializado, y NO garantiza el cumplimiento de la ley. El uso de esta herramienta es responsabilidad exclusiva del usuario. Para situaciones complejas o de alto riesgo (datos sensibles, transferencias internacionales, datos de menores), recomendamos consultar con un profesional del derecho.

PrivacidadWeb.cl se financia mediante publicidad y enlaces de afiliado. No vendemos ni compartimos datos de nuestros usuarios.