Registro de Actividades de Tratamiento (RAT)
El módulo RAT es el inventario vivo de cada actividad de tratamiento de datos personales que ocurre dentro de tu organización. Es el documento que la Agencia de Protección de Datos Personales (APDP) puede exigirte en cualquier inspección y la base sobre la que se construyen evaluaciones de impacto (DPIA), contratos con encargados, política de privacidad y respuestas a solicitudes ARSOP.
En DPOLab, el RAT no es un Excel estático: cada actividad recorre un ciclo de vida desde Borrador hasta Activa o Archivada, calcula su nivel de riesgo automáticamente, conoce los sistemas del Mapa de Datos que la soportan y, cuando corresponde, genera una alerta de DPIA obligatoria.
¿Eres desarrollador? Los detalles técnicos de la API están en Referencia de API — RAT.
Requisitos regulatorios
| Norma | Artículo | Qué exige |
|---|---|---|
| Ley 21.719 (Chile) | Art. 15 ter | El responsable debe llevar un registro de actividades de tratamiento actualizado y ponerlo a disposición de la APDP cuando se le solicite |
| Ley 21.719 (Chile) | Art. 12 | Las finalidades deben ser determinadas, explícitas y legítimas |
| Ley 21.719 (Chile) | Art. 13 | Las bases de licitud del tratamiento (consentimiento, contrato, obligación legal, interés legítimo, etc.) |
| Ley 21.719 (Chile) | Art. 16 | Datos sensibles: exigen base de licitud reforzada y pueden activar una DPIA obligatoria |
| Ley 21.719 (Chile) | Art. 27–28 | Transferencias internacionales: exigen identificar el país de destino y la salvaguarda aplicable |
| GDPR | Art. 30 | Registro de actividades de tratamiento (equivalente al RAT en la regulación europea) |
El registro de actividades es obligatorio para todo responsable de datos, independientemente del tamaño de la organización. La Ley 21.719 no establece un umbral de empleados o de volumen para eximirse de esta obligación.
Cómo acceder
Desde el menú lateral, haz clic en Registro de Actividades. Verás el listado paginado con filtros por entidad legal, estado, base legal, nivel de riesgo y si la actividad requiere DPIA.
Funcionalidades principales
- Asistente de creación en 8 pasos: guía estructurada desde la identificación de la actividad hasta la evaluación de riesgo y la vinculación con el Mapa de Datos.
- Plantillas por industria: catálogo de plantillas para RR.HH., marketing, soporte al cliente y otras categorías comunes.
- Generación asistida por IA (Professional+): describe el tratamiento en lenguaje natural y DPOLab genera un borrador completo.
- Sugerencia inteligente de campos (Professional+): botón "Sugerir" junto a campos individuales para completarlos con IA.
- Cálculo automático de riesgo: puntuación de 0 a 100 en cuatro categorías, con niveles Muy bajo, Bajo, Medio, Alto y Muy alto.
- Alerta de DPIA obligatoria: ciertos factores críticos (decisiones automatizadas, datos sensibles a gran escala, datos de menores, datos penales) activan la alerta automáticamente, sin importar el puntaje de riesgo.
- Vinculación con el Mapa de Datos: cada actividad puede vincularse a los sistemas que la soportan, indicando si el sistema recolecta, almacena, procesa o transfiere los datos.
- Importación masiva desde CSV: hasta 200 actividades por importación, con soporte de éxito parcial (las filas válidas se crean aunque otras fallen).
- Historial de versiones: cada cambio relevante genera una entrada auditable que puedes revisar en la pestaña Historial.
Paso a paso
Crear una actividad desde cero
Abre el módulo RAT
En el menú lateral, haz clic en Registro de Actividades. Verás el listado de actividades con filtros por entidad legal, estado, base legal, nivel de riesgo y si requiere DPIA.
Pulsa "Nueva actividad"
El asistente te ofrece tres caminos: partir desde cero, aplicar una plantilla del catálogo (RR.HH., marketing, soporte al cliente, etc.) o generar el borrador con IA a partir de una descripción libre.
Completa los pasos del asistente
El asistente cubre, en este orden:
- Identificación — nombre, entidad legal, rol de tratamiento (responsable o encargado), responsable interno y DPO (Data Protection Officer), también denominado DPD (Delegado de Protección de Datos) en la legislación chilena.
- Finalidades y base legal — una o varias finalidades, cada una con su descripción, base de licitud y artículo invocado.
- Datos y titulares — categorías de titulares, tipos de datos personales tomados del Glosario, indicador de datos sensibles y volumen estimado anual.
- Retención — plazo de conservación y criterio que justifica ese plazo.
- Destinatarios y transferencias — encargados, destinatarios y demás terceros, con el mecanismo de transferencia internacional y estado del contrato de encargo (DPA) si aplica.
- Seguridad — medidas técnicas y organizativas aplicadas.
- Mapa de Datos — vincula los sistemas del Mapa de Datos indicando si cada sistema recolecta, almacena, procesa o transfiere los datos de esta actividad.
- Riesgo — marca los factores que aplican; DPOLab calcula el puntaje y el nivel automáticamente.
Revisa el cálculo de riesgo
DPOLab calcula el riesgo en cuatro dimensiones (finalidad, titulares, tipos de datos, seguridad) y promedia los puntajes activos. Los factores críticos disparan la obligación de DPIA sin importar el puntaje: decisiones automatizadas con efecto jurídico, datos de categorías especiales, datos penales y datos de menores.
Guarda como borrador
Al guardar, la actividad queda en estado Borrador. Aparece en el listado, pero no cuenta para los reportes oficiales ni para el puntaje de cumplimiento de Gobernanza.
Envía a revisión y aprueba
Cuando el contenido esté completo, cambia el estado a En revisión. Un rol aprobador (Propietario, Administrador o DPO) revisa y publica la actividad. Una vez Activa, la actividad aparece en reportes, mapa geográfico y puntaje de cumplimiento.
Mantén el historial
Cada cambio relevante se registra automáticamente. Puedes consultar quién modificó qué y revisar el historial completo desde la pestaña Historial en la ficha de la actividad.
Importación masiva desde CSV
Prepara el archivo
Hasta 200 actividades por importación. El archivo CSV debe incluir, como mínimo: nombre de la actividad, entidad legal, finalidades, base de licitud y categorías de datos. DPOLab resuelve la entidad legal por nombre contra las entidades configuradas en tu organización.
Sube el CSV
Desde el listado, haz clic en Importar → Archivo CSV. DPOLab valida fila por fila y muestra los errores junto al número de línea. Las filas válidas se crean aunque otras fallen.
Revisa y publica
Las actividades importadas quedan en estado Borrador. Recórrelas, complétalas con los datos de riesgo y los vínculos al Mapa de Datos, y pásalas al estado Activa cuando estén listas.
Generación asistida por IA (Professional+)
La generación y sugerencia con IA consumen cuota mensual según tu plan: Starter incluye 5 consultas al mes (modo prueba), Professional 30, Business 200 y Enterprise ilimitadas. En el plan Starter, la generación completa de una actividad no está disponible; solo el modo prueba.
Describe el tratamiento en lenguaje natural (por ejemplo: "Reclutamiento de postulantes vía LinkedIn y portal corporativo") y DPOLab genera un borrador completo con finalidades, base legal sugerida, titulares, datos, retención y medidas. Siempre debes revisar el borrador antes de publicar.
Dentro del asistente, el botón Sugerir junto a campos individuales completa solo ese campo de manera inteligente: descripción, finalidades, criterio de retención, medidas de seguridad, bases de licitud o conclusión de DPIA.
Campos y datos
| Campo | Obligatorio | Descripción |
|---|---|---|
| Nombre | Sí | Descripción corta de la actividad |
| Entidad legal | Sí | Razón social responsable del tratamiento |
| Rol de tratamiento | Sí | Responsable (Controller) o Encargado (Processor) |
| Finalidades | Sí | Una o varias, cada una con base de licitud y artículo invocado |
| Base de licitud | Sí | Consentimiento, Contrato, Obligación legal, Intereses vitales, Tarea de interés público, Interés legítimo |
| Categorías de titulares | No | Tipos de personas cuyos datos se tratan |
| Tipos de datos personales | No | Campos del Glosario con su nivel de sensibilidad |
| Datos sensibles | Sí (automático) | Derivado de los campos del glosario clasificados como Sensibles o Categoría especial |
| Volumen estimado | No | Cantidad anual estimada de registros o titulares |
| Plazo de retención | No | Período de conservación y criterio que lo justifica |
| Destinatarios y encargados | No | Seleccionados desde el catálogo de Terceros |
| Transferencias internacionales | No | País de destino y salvaguarda (Art. 27–28 Ley 21.719) |
| Medidas de seguridad | No | Técnicas y organizativas del catálogo del tenant |
| Sistemas vinculados | No | Sistemas del Mapa de Datos con su función en la actividad (recolecta / almacena / procesa / transfiere) |
| Factores de riesgo | No | Determinan el puntaje (0–100) y el nivel de riesgo |
Estados y flujo de vida
| Estado | Descripción |
|---|---|
| Borrador | En preparación. No aparece en reportes oficiales ni en el puntaje de cumplimiento |
| En revisión | En revisión por un aprobador (Propietario, Administrador o DPO) |
| Activa | Publicada. Cuenta para el puntaje de cumplimiento (peso 25%) y aparece en reportes |
| Archivada | Se conserva en el historial, pero ya no es operativa |
Borrador → En revisión → Activa → ArchivadaLa transición al estado Activa solo la pueden realizar usuarios con rol Propietario, Administrador o DPO. Un Analista puede crear y editar actividades, pero no publicarlas.
Restricciones por plan
| Límite | Starter | Professional | Business | Enterprise |
|---|---|---|---|---|
| Actividades RAT | 50 | 100 | Ilimitadas | Ilimitadas |
| Consultas de IA al mes | 5 (modo prueba) | 30 | 200 | Ilimitadas |
| Tipos de titulares personalizados | No | Sí | Sí | Sí |
| Plantillas de industria | Sí | Sí | Sí | Sí |
| Importación masiva (CSV) | Sí | Sí | Sí | Sí |
Si alcanzas el límite de actividades del plan, DPOLab te avisará al intentar crear una nueva. Puedes archivar actividades obsoletas para liberar cupo o actualizar tu plan.
Relación con otros módulos
| Módulo | Cómo se conecta |
|---|---|
| Mapa de Datos | Cada actividad puede vincularse a los sistemas y flujos del Mapa de Datos, indicando qué función cumple cada sistema (recolecta, almacena, procesa o transfiere). La vinculación es bidireccional: desde el RAT y desde la ficha del sistema |
| DPIA | Cuando el riesgo calculado o un factor crítico exigen una evaluación de impacto, la actividad aparece en la cola de evaluaciones pendientes |
| Contratos | Los encargados con contrato DPA pendiente alimentan el listado de contratos por firmar |
| Brechas | Una brecha puede vincularse a las actividades afectadas para evaluar el impacto y determinar la obligación de notificación a los titulares |
| Gestión de riesgos | Los factores de riesgo de la actividad alimentan el módulo de riesgos del tenant para una vista consolidada |
| Dominios | Vincula una actividad a un dominio para señalar dónde se recolecta el dato en línea |
| Política de privacidad | El generador toma las actividades activas para construir las secciones de finalidades, base legal y categorías (Art. 14 ter Ley 21.719) |
| Glosario | Los tipos de datos personales se seleccionan desde el glosario para mantener nomenclatura consistente y derivar la sensibilidad automáticamente |
| Terceros | Los encargados, destinatarios y demás terceros se seleccionan desde el catálogo de Terceros |
| Gobernanza | Las actividades activas aportan al componente "RAT" del puntaje de cumplimiento con un peso del 25% |
Ver también
Ver también: Mapa de Datos · DPIA · Glosario de Datos · Referencia de API — RAT