¿Ya tienes activas tus RAT? El registro que la Ley 21.719 te exige (aunque no lo diga con esas palabras)

Faltan poco menos de seis meses para el 1 de diciembre de 2026. Ese dia, la Ley 21.719 de Proteccion de Datos Personales entra en plena vigencia en Chile, las multas pueden llegar a 20.000 UTM (cerca de 1.430 millones de pesos por una sola infraccion gravisima) y la carga de la prueba cambia de bando: Ya no basta con tener politicas escritas, ahora tu organizacion debe poder demostrar que cumple. Y mientras el reloj corre, hay un detalle que casi nadie comenta: La Agencia de Proteccion de Datos Personales, el organismo que va a fiscalizar todo esto, todavia no esta constituida.

Esa combinacion (plazo corto, sanciones altas y un fiscalizador que recien se esta armando) define el momento exacto en el que estas leyendo esto. Si tu empresa trata datos personales (y si tienes empleados, clientes o proveedores, los tratas), la pregunta no es si vas a tener que adecuarte, sino con cuanta evidencia vas a llegar a diciembre.

En este articulo vamos a ir al corazon operativo del asunto: El Registro de Actividades de Tratamiento, o RAT. Es el instrumento que convierte una ley abstracta en algo que puedes demostrar. Te vamos a explicar que es, por que lo necesitas aunque la ley no lo nombre, que debe contener y como saber si los tuyos ya estan activos o si vas a tener que construirlos a contrarreloj.

Que cambio realmente con la Ley 21.719

Durante mas de dos decadas, la proteccion de datos en Chile se rigio por la Ley 19.628, de 1999. Era un marco acotado, sin una autoridad central que fiscalizara y con el foco puesto en el dato puntual mas que en el ciclo completo de su tratamiento. En la practica, cumplir significaba tener un par de politicas redactadas y guardadas en un cajon.

La Ley 21.719 cambia el estandar por completo. Toma como modelo el Reglamento General de Proteccion de Datos europeo (el GDPR) e instaura un regimen basado en evidencia, trazabilidad y responsabilidad proactiva. El principio de responsabilidad, consagrado en el articulo 3 de la ley reformada, lo dice sin rodeos: El responsable debe ser capaz de acreditar la licitud de sus tratamientos. Ya no se trata de declarar que cumples, se trata de probarlo.

La diferencia es enorme y conviene verla lado a lado:

El regimen ya no se acredita con un cuerpo de politicas. Se acredita con tratamientos ordenados, controles operando y evidencia auditable. Y aqui es donde aparece el RAT.

Que es el RAT y por que lo necesitas aunque la ley no lo nombre

Vamos a ser honestos, porque en este punto circula mucha informacion imprecisa. La Ley 21.719 no contiene un articulo que diga textualmente "toda empresa debe llevar un Registro de Actividades de Tratamiento". A diferencia del GDPR europeo, que si lo exige de forma expresa en su articulo 30, la ley chilena no consagra el RAT como un documento obligatorio con ese nombre.

Entonces, por que hablamos tanto de el? Porque sin un RAT, en la practica, no puedes cumplir con lo que la ley si exige de forma explicita.

Piensalo asi. El articulo 14 ter establece el deber de informacion y transparencia: Debes tener permanentemente disponible, en tu sitio web o medio equivalente, informacion detallada sobre quien eres como responsable, que categorias de datos tratas, con que finalidades, bajo que base de licitud, por cuanto tiempo los conservas, a quien los comunicas y si haces transferencias internacionales. El articulo 3 te exige acreditar la licitud de cada tratamiento. Como vas a producir toda esa informacion, mantenerla actualizada y demostrarla ante la Agencia, si no tienes un inventario ordenado de todos tus tratamientos?

El RAT es ese inventario. Es la hoja de ruta que documenta, tratamiento por tratamiento, que datos manejas, para que, con que fundamento legal y con que resguardos. No es un fin en si mismo, es la columna vertebral de tu cumplimiento. Los estudios de abogados especializados y la guia academica de la Universidad Catolica coinciden en lo mismo: La obligacion de llevar un registro de tratamientos no aparece literal en la ley, pero se deriva directamente de los deberes de transparencia y responsabilidad proactiva. En otras palabras, es exigible en la practica.

Por eso el titulo de este articulo es una pregunta y no una afirmacion. La ley no te va a multar por "no tener un RAT". Te va a multar por no poder demostrar la licitud de un tratamiento, por no responder bien a un titular que ejerce sus derechos o por no informar adecuadamente. Y el RAT es, hoy, la unica forma seria de evitar las tres cosas a la vez.

Que debe contener tu RAT

Aqui entramos en el terreno donde la teoria se vuelve operacion. Un RAT util no es una planilla con cuatro columnas hecha de apuro. Es un registro estructurado, con una hoja por cada tratamiento que realiza tu organizacion, codificada y mantenida como un documento vivo.

En Netprovider construimos cada RAT con doce secciones obligatorias por tratamiento. No es un capricho metodologico: Cada seccion responde a un requisito concreto de la ley y a una pregunta que la Agencia, un titular o un auditor podrian hacerte.

Las doce secciones son:

1. Identificacion: Codigo correlativo del tratamiento, area responsable, sistemas y repositorios donde viven los datos.
2. Finalidad: El proposito especifico, explicito y licito del tratamiento. Nada de finalidades difusas tipo "para fines comerciales".
3. Categorias de titulares: A quien pertenecen los datos. Empleados, candidatos, clientes, contrapartes, terceros.
4. Categorias de datos: Que tipo de datos tratas. Identificativos, de contacto, sensibles, datos de ninos, ninas y adolescentes.
5. Base de licitud: La habilitacion legal especifica, con cita explicita al articulo 12 (consentimiento) o al articulo 13 (otras bases sin consentimiento).
6. Destinatarios y cesiones: A que entidades comunicas los datos y con que finalidad.
7. Encargados: Los proveedores que tratan datos por cuenta tuya, y si tienes el contrato de encargo (DPA) firmado.
8. Transferencias internacionales: Paises de destino, garantias y salvaguardas aplicables.
9. Plazos y eliminacion: Cuanto tiempo conservas los datos y como los destruyes despues.
10. Medidas de seguridad: Los controles tecnicos, organizativos y contractuales vigentes para ese tratamiento.
11. Necesidad de EIPD: El indicador de si ese tratamiento, por su riesgo, requiere una Evaluacion de Impacto en Proteccion de Datos.
12. Hallazgos y riesgo: Las observaciones detectadas, con su probabilidad e impacto valorados.

Esa ultima seccion es la que separa un RAT que solo registra de uno que sirve. Un buen RAT no es un acta notarial de lo que haces, es un radar que identifica donde tienes brechas y con que nivel de exposicion. De ahi salen, casi solos, los tratamientos que necesitan una EIPD y las prioridades de tu plan de adecuacion.

Una recomendacion practica que damos siempre: El RAT se levanta sobre flujos reales del negocio, no sobre el organigrama. Conversando con las personas que efectivamente tratan los datos, no asumiendo desde un diagrama. Es la unica forma de que el inventario refleje lo que pasa de verdad y no lo que deberia pasar en el papel.

Ya tienes activas tus RAT? Checklist de autodiagnostico

Llegamos a la pregunta del titulo. Responde con honestidad las siguientes diez afirmaciones. Marca solo las que tu organizacion puede demostrar hoy, con evidencia, no las que "mas o menos" hace.

• Tengo un inventario escrito de todos los tratamientos de datos personales que realiza mi organizacion.
• Cada tratamiento tiene una finalidad especifica documentada (no generica).
• Para cada tratamiento se con que base de licitud lo realizo y puedo citar el articulo que lo habilita.
• Tengo identificados que tratamientos involucran datos sensibles o datos de ninos, ninas y adolescentes.
• Se que proveedores tratan datos por cuenta mia y tengo con ellos un contrato de encargo (DPA) firmado.
• Tengo definidos los plazos de conservacion y el metodo de eliminacion de los datos.
• Se que tratamientos implican transferencias internacionales y con que garantias.
• Tengo identificados los tratamientos de alto riesgo que requeririan una Evaluacion de Impacto (EIPD).
• Puedo responder a un titular que ejerce sus derechos (acceso, rectificacion, supresion, oposicion, portabilidad o bloqueo) dentro de los 30 dias corridos que exige la ley.
• Mi informacion de transparencia (articulo 14 ter) esta publicada y actualizada en mi sitio web.

Ahora cuenta cuantas marcaste:

• 8 a 10: Vas bien encaminado. Tu RAT esta activo o muy cerca. El foco ahora es validar la calidad de la evidencia y mantener el registro vivo de cara a la fiscalizacion.
• 4 a 7: Tienes una base, pero con vacios que la Agencia podria observar. Necesitas cerrar brechas antes de diciembre, partiendo por las bases de licitud y los contratos de encargo.
• 0 a 3: Estas en zona de riesgo alto. No tienes un RAT operativo y el plazo es corto. Es momento de iniciar un levantamiento ordenado cuanto antes, priorizando los tratamientos mas expuestos.

Si quedaste en los dos tramos de abajo, no es para alarmarse, pero si para actuar. La buena noticia es que seis meses alcanzan si el levantamiento se hace con metodo. La mala es que diciembre llega igual, estes listo o no.

Que te expone si no actuas

Conviene poner los numeros sobre la mesa, porque la Ley 21.719 tiene dientes que la 19.628 nunca tuvo. La ley clasifica las infracciones en tres niveles y asocia a cada uno un tope de multa:

Y hay mas. En caso de reincidencia, las multas pueden triplicarse o, para empresas que no son de menor tamano, calcularse como un porcentaje de los ingresos anuales por ventas (2% en infracciones graves, 4% en gravisimas), aplicandose el monto que resulte mayor. A eso se suma una sancion accesoria que muchos pasan por alto: La Agencia puede ordenar la suspension de las operaciones de tratamiento hasta por 30 dias, prorrogables, ante infracciones gravisimas reiteradas. Para una empresa que depende de sus datos para operar, eso puede ser mas grave que la multa misma.

La exposicion no es solo legal. Es operativa (reprocesos, atencion tardia a derechos de titulares, costos de regularizacion), tecnologica (configuraciones debiles, accesos no revocados, datos dispersos sin gobierno) y reputacional (la perdida de confianza de clientes y trabajadores frente a una brecha o una sancion publica). Recordemos que las sanciones quedan anotadas en un Registro Nacional publico durante cinco anos.

Y que tan preparado esta el mercado para todo esto? No mucho. Una encuesta de PwC Chile junto a la Fundacion Generacion Empresarial, realizada a 87 ejecutivos de areas de riesgo, legal, TI y compliance, mostro que solo el 13% de las organizaciones se considera "muy preparado" para la nueva ley. Un 33% se reconoce derechamente "poco preparado". La mayor preocupacion de los encuestados, por lejos, son las multas. La brecha entre lo que la ley exigira y lo que las empresas tienen hoy es real y es amplia.

Del RAT a la EIPD y la hoja de ruta

El RAT no trabaja solo. Es la pieza que alimenta el resto del modelo de cumplimiento. Una vez que tienes tus tratamientos inventariados y con su riesgo valorado, el camino se ordena casi por si mismo.

Las bases de licitud. El articulo 12 establece el consentimiento como regla general: Debe ser libre, informado, especifico, previo, inequivoco y revocable en cualquier momento. Pero no todo tratamiento se sostiene en consentimiento. El articulo 13 reconoce cinco bases adicionales que habilitan a tratar datos sin el: El cumplimiento de una obligacion legal, la ejecucion de un contrato, las obligaciones de caracter economico o financiero, el interes legitimo del responsable (que exige un test de ponderacion) y la defensa de un derecho ante tribunales. Documentar correctamente la base de cada tratamiento en el RAT es lo que te permite responder, si te preguntan, por que tienes derecho a tratar esos datos.

La EIPD. Los tratamientos de alto riesgo que detecta tu RAT deben pasar por una Evaluacion de Impacto en Proteccion de Datos, regulada en el articulo 15 ter. Es obligatoria, por ejemplo, cuando hay decisiones automatizadas con efectos juridicos significativos, tratamientos masivos, monitoreo sistematico de espacios publicos o tratamiento de datos sensibles. El RAT es el insumo natural de la EIPD: Sin el primero, el segundo se hace a ciegas.

Los regimenes reforzados. Hay categorias de datos que la ley protege con especial cuidado. Los datos sensibles (salud, datos biometricos, afiliacion sindical, creencias, vida sexual, situacion socioeconomica, entre otros) solo pueden tratarse con consentimiento expreso o bajo excepciones tasadas. Y los datos de ninos, ninas y adolescentes, regulados en el articulo 16 quater, tienen un regimen propio que atiende a su interes superior: Para menores de 14 anos, el consentimiento lo otorgan los padres o representantes legales. Marcar estos datos en el RAT es lo que gatilla, automaticamente, el tratamiento reforzado que corresponde.

La hoja de ruta. Con todo lo anterior sobre la mesa (tratamientos, riesgos, brechas y prioridades) recien tiene sentido armar el plan de adecuacion. Y ese plan se organiza en tres tipos de iniciativas que cada area podra ejecutar: Iniciativas legales (bases de licitud, clausulas con encargados, cesiones y transferencias), documentales (politicas, avisos de privacidad, protocolo de brechas y EIPD) y tecnologicas (cifrado, gestion de accesos, prevencion de fuga de datos, trazabilidad). Lo importante es que cada iniciativa quede lista para asignar, con su requisito, su riesgo y su accion ya definidos.

Ese es el orden correcto. Primero ves, despues decides, al final inviertes. Empezar por la tecnologia o por las politicas, sin haber levantado primero los tratamientos reales, es la receta para gastar mal y quedar igual de expuesto.

Como puede ayudarte Netprovider

En Netprovider abordamos la adecuacion a la Ley 21.719 desde un lugar distinto al puramente legal. Un abogado redacta excelentes clausulas y politicas, pero la ley ya no se cumple con texto: Se cumple con control operativo demostrable. Y ahi es donde un enfoque de Gobierno, Riesgo y Cumplimiento (GRC) marca la diferencia.

Nuestro servicio de Gobierno de Proteccion de Datos Personales integra cumplimiento, gobierno, gestion de riesgo y seguridad de la informacion en un unico modelo. No partimos proponiendo tecnologia nueva. Partimos levantando tus flujos reales (personas, proyectos, terceros, procesos criticos), revisando tecnicamente las plataformas que ya tienes y entregando quick wins y alertas tempranas desde el primer diagnostico, sin esperar al cierre del proyecto.

El RAT que describimos en este articulo es uno de nuestros entregables centrales, construido con la metodologia de doce secciones, levantado sobre la operacion real y mantenido como registro vivo. A partir de el entregamos tambien la matriz de cumplimiento de la ley articulo por articulo, los riesgos identificados y valorados, y una hoja de ruta de iniciativas priorizadas y listas para asignar a cada area responsable.

Lo respaldamos con un equipo GRC senior, con mas de 20 anos de experiencia de liderazgo, certificaciones que incluyen Data Protection Officer, ISO 27001 Lead Auditor, ISO 31000 Risk Manager e ISO 27032, y experiencia comprobada en sectores criticos: Energia, mineria, salud, banca, gobierno, retail, telecomunicaciones y transporte. Netprovider es ademas una empresa OIV declarada por la ANCI y fue reconocida en el Benchmark ENCI 2025 de la Universidad Catolica como uno de los proveedores lideres de ciberseguridad en Chile.

Si despues del checklist quedaste con dudas sobre donde estas parado, ese es exactamente el punto de partida de un diagnostico GRC. Te ayudamos a saber, con evidencia, que tan lejos estas de diciembre y que hacer primero.

Conversemos antes de que el plazo se acorte mas. Un diagnostico temprano hoy vale mucho mas que una regularizacion apurada en noviembre.

Fuentes

• Ley 21.719, texto oficial publicado en el Diario Oficial el 13 de diciembre de 2024. Biblioteca del Congreso Nacional (Ley Chile)
• Valor de la UTM, junio 2026. Servicio de Impuestos Internos
• Pendiente pronunciamiento sobre consejeros de la Agencia de Proteccion de Datos. Senado de Chile
• Encuesta de Proteccion de Datos Personales, PwC Chile y Fundacion Generacion Empresarial, 2025. PwC Chile
• Guia sobre el Registro de Actividades de Tratamiento. Centro UC de Proteccion de Datos