Registro de Actividades de Tratamiento en Chile

La publicación de la Ley N° 21.719, que reforma sustantivamente el régimen de protección de datos personales en Chile, ha puesto sobre la mesa nuevas obligaciones y buenas prácticas que todas las organizaciones -públicas y privadas- deben comenzar a evaluar con urgencia.

Uno de los elementos que genera mayor interés (y dudas) es el Registro de Actividades de Tratamiento (RAT).

¿Es obligatorio implementarlo? ¿Cuándo hacerse? ¿Qué beneficios representa?

En DATLIA te lo explicamos.

¿Qué es el Registro de Actividades de Tratamiento?

El RAT es una herramienta de gestión y trazabilidad que permite documentar de forma sistemática qué datos personales se tratan, con qué finalidad, qué bases legales los sustentan, a quién se comunican, dónde se almacenan, y por cuánto tiempo se conservan.

Adelantamos que el RAT es un instrumento fundamental para una gestión ordenada del cumplimiento normativo. Además, aunque la Ley 21.719 no menciona expresamente el principio de accountability (Responsabilidad Proactiva) como otros ordenamientos, sí incorpora este enfoque dentro del Modelo de Prevención de Infracciones del artículo 49, alineándose con estándares internacionales como el GDPR europeo.

¿Es obligatorio el RAT según la nueva Ley 21.719?

No. A diferencia del GDPR, la Ley 21.719 no establece de forma expresa ni condicionada la obligación de contar con un Registro de Actividades de Tratamiento. Sin embargo, sí impone fuertes deberes de transparencia e información al titular, que en la práctica exigen que el responsable del tratamiento tenga una visión completa y actualizada de sus actividades.

En particular, el artículo 14 ter obliga a publicar, de forma accesible y permanente, al menos:

• Las categorías, clases o tipos de datos que la organización trata.

• La descripción genérica del universo de personas comprendidas en sus bases de datos.

• Los destinatarios a quienes se prevé comunicar los datos.

• Las finalidades del tratamiento.

• La base de legitimación para tratar los datos.

• Y, en caso de usar el interés legítimo como base, identificar claramente ese interés.

Esta obligación no sólo exige coherencia documental, sino también una gestión ordenada y trazable de los tratamientos realizados, algo que un Registro de Actividades de Tratamiento bien estructurado permite cumplir de manera eficiente.

¿Tiene sentido implementar un Registro de Actividades de Tratamiento si no es obligatorio?

Aunque no sea una obligación legal, el RAT se presenta como una herramienta estratégica para cumplir, anticiparse y demostrar cumplimiento.

¿Cómo puede una organización asegurar que la información publicada en virtud del artículo 14 ter sea completa, veraz y actualizada, si no cuenta con un sistema interno que le permita identificar y controlar sus tratamientos de datos?

Aquí el Registro de Actividades de Tratamiento se vuelve más que útil, prácticamente indispensable.

A su vez, para aquellas empresas que deseen optar por un Modelo de Prevención de Infracciones certificado, el artículo 49 exige, entre otras:

• Identificar el tipo de datos tratados.

• Delimitar el ámbito territorial de operación.

• Caracterizar los titulares de datos.

• Reconocer procesos o actividades que generen riesgos de infracción.

Todo esto requiere mapear y documentar los tratamientos de datos personales, una función que cumple a cabalidad el RAT.

¿Qué beneficios aporta un RAT?

Adoptar tempranamente un Registro de Actividades de Tratamiento aporta ventajas significativas:

→ Permite mapear y comprender los flujos de datos dentro de la organización.
→ Facilita la adecuación futura a las exigencias legales, evitando correcciones urgentes.
→ Reduce riesgos legales y reputacionales, al evidenciar cumplimiento proactivo.
→ Sirve como base para realizar Evaluaciones de Impacto en la Privacidad (PIAs/EIPDs).
→ Refuerza la confianza de titulares, clientes y autoridades frente a una eventual fiscalización.

En resumen, es una herramienta concreta para quienes buscan operar con altos estándares de compliance, ética digital y gobierno de datos.

¿Cómo empezar?

Desde DATLIA, asesoramos a organizaciones públicas y privadas para identificar, estructurar y mantener sus registros de actividades de tratamiento, alineados con las exigencias de la Ley 21.719, el estándar internacional del GDPR y otras normativas sectoriales.

Contáctanos y diseñemos juntos tu hoja de ruta hacia el cumplimiento normativo digital.