El 1 de diciembre de 2026 entra en vigencia la Ley 21.719. A partir de ese momento, toda organización que trate datos personales en Chile —pública o privada, grande o chica— va a tener que demostrar que sabe qué datos maneja, con qué base legal, a quién se los transfiere y cómo los protege.
El instrumento que te ayuda a demostrar todo eso se llama Registro de Actividades de Tratamiento (RAT). Y la mayoría de las empresas no tiene uno.
Qué es un RAT y por qué importa
Un RAT es un inventario estructurado de todo lo que una organización hace con datos personales: qué datos recoge, para qué, con qué base legal, a quién se los comparte, por cuánto tiempo los guarda y cómo los protege.
Aquí hay que mencionar algo importante, y es que en la Ley 21.719 nunca se usa el término “Registro de Actividades de Tratamiento”. El nombre no viene de la ley chilena, sino de la GDPR europea, donde el equivalente se conoce como Record of Processing Activities (ROPA). RAT es simplemente la traducción al español y se ha consolidado como el término estándar en la comunidad de privacidad hispanohablante.
Lo que la ley chilena sí establece son obligaciones concretas que, en conjunto, hacen que tener algo funcionalmente equivalente a un RAT sea una necesidad práctica.
La ley exige, por un lado, que toda organización mantenga información pública sobre cómo trata datos personales: qué categorías maneja, con qué finalidad, bajo qué base legal, a quién se los comparte y por cuánto tiempo. Eso se resuelve con una buena política de privacidad.
Pero por otro lado, la ley también exige que el responsable:
- Acredite la licitud de cada tratamiento que realiza.
- Incorpore protección de datos desde el diseño de sus sistemas y procesos
- Realice evaluaciones de impacto (EIPD) para tratamientos de alto riesgo
- Ante una vulneración de seguridad, reporte con detalle categorías de datos comprometidas, número de titulares afectados y medidas de mitigación
Ese segundo grupo de obligaciones no se cumple con un documento estático. Requiere un conocimiento interno, granular y actualizado de todo lo que haces con datos personales. ¿Se puede cumplir con todo eso sin un inventario centralizado y estructurado de tus actividades de tratamiento? En teoría, sí. En la práctica, las cosas se complican bastante.
El RAT no es una obligación legal, sino que es una herramienta de gestión que te permite cumplir con las que sí lo son. Y si la Agencia de Protección de Datos Personales detecta que no cumples con estos deberes de transparencia, información o seguridad, las consecuencias son reales. Las distintas sanciones establecidas pueden llegar hasta 20.000 UTM en los casos más graves y en empresas grandes que reincidan, hasta el 2% o 4% de los ingresos anuales. Es para tomárselo en serio.
Debido a que la ley no menciona explícitamente los RAT, en consecuencia tampoco dice cómo debe verse uno.
Y esto último, que en teoría brinda libertad, en la práctica genera un gran desorden.
Cómo se suele armar un RAT hoy
El proceso típico sigue, en general, estos pasos.
-
Se designa a una persona o equipo —usualmente un abogado o un Delegado de Protección de Datos (DPD)— para levantar la información. A veces es alguien interno, a veces una consultoría externa.
-
Se agendan entrevistas con las distintas áreas: RRHH, desarrollo, marketing, operaciones, finanzas, etc. En cada una se pregunta qué datos manejan, para qué, dónde los guardan, por cuánto tiempo y a quién los comparten. Si existen medidas de protección de datos, también se levantan aquí. En algunos casos se revisan además documentos internos, aunque en la práctica esto ocurre con menos frecuencia de la que se esperaría.
-
Finalmente, se analizan las respuestas y en base a ellas se rellena una plantilla Excel o similar. Fila por fila, se van documentando todas las actividades de tratamiento de datos personales. A mano. Las bases legales se asignan según criterio del especialista.
Para los estudios jurídicos que se dedican profesionalmente a esto, el dolor se multiplica: cada nuevo cliente significa repetir todo este proceso completo desde cero.
El flujo anterior funciona, pero tiene problemas importantes.
-
Es lento. Coordinar entrevistas con múltiples áreas, transcribirlas, examinar documentación adicional, ordenar la información y darle forma de registro puede tomar semanas o meses.
-
Depende en gran medida de lo que la gente entiende de sus procesos —y lo que declara. El equipo de marketing puede decir que "usa datos para campañas", pero no mencionar que el píxel de seguimiento de su plataforma registra geolocalización, comportamiento de navegación y dispositivo. Si TI no dice que el sistema de remuneraciones está alojado en AWS porque lo asume como obvio, la transferencia internacional queda fuera. Basta con que un detalle no se mencione para que información crítica se pierda, se simplifique o se malinterprete.
-
No suele haber cruce con la realidad técnica. El RAT se construye desde la palabra de las personas, no desde lo que efectivamente ocurre en los sistemas. No se revisan los repositorios de código y en muchos casos no se contrastan las respuestas con la documentación interna. El resultado es un documento que en general refleja la percepción de la organización y no su realidad operativa.
-
Se desactualiza casi de inmediato. Las organizaciones son organismos que están en constante cambio. Cada semana se implementan nuevos procesos, se añaden integraciones, o se agregan campos a una base de datos. Un RAT armado a mano no puede capturar esos cambios, salvo que se repita todo el proceso con frecuencia. Y casi nadie lo hace, porque ni el dinero ni el tiempo alcanzan.
Cuando el chatbot se queda corto
Frente a este panorama, han aparecido soluciones que proponen automatizar el proceso de levantamiento mediante chatbots diseñados específicamente para este fin. No hablamos de un LLM genérico, sino de herramientas construidas para guiar entrevistas de privacidad.
Así, en vez de que un experto se siente a conversar con cada área, un chatbot con IA hace las preguntas. La persona de marketing se conecta y el bot le pregunta cómo gestiona datos de campañas, para luego normalizar las respuestas y generar un reporte.
Es una alternativa que promete. Se ahorra tiempo de coordinación, las respuestas quedan estructuradas desde el inicio y las preguntas son dinámicas: se van ajustando según lo que responde el entrevistado, con el objetivo de obtener los datos clave que se necesitan. En el fondo, el chatbot puede preguntar como un experto y entender tal vez mejor el contexto de un área si se le incorpora conocimiento de dominio: puede saber qué herramientas y procesos son habituales en marketing, en TI o en operaciones y preguntar en función de aquello. Eso es mucho mejor que un formulario estático que nunca lo preguntaría.
Pero incluso con preguntas inteligentes, sigue habiendo una limitante fundamental.
No sabes lo que no sabes
Se puede hacer una pregunta muy bien enfocada y aún así obtener una mala respuesta, o una incompleta. Toda entrevista, la haga una persona o una máquina, es un espejo de la percepción del entrevistado, no una radiografía de la organización.
Al final, estamos preguntándole a personas sobre procesos que tal vez no conocen de forma completa, que se les olvidan, o que son legados que nadie ha revisado en años. Y el chatbot no tiene contra qué verificar la validez de la información que recibe, si no la contrasta con más insumos.
En definitiva, el rigor del formato no compensa la fragilidad de la fuente. Cuando el resultado contiene reportes de riesgo automatizados, taxonomías ordenadas y categorías estandarizadas, es fácil asumir que el RAT está completo.
Pero ojo, normalizar respuestas no es lo mismo que entender lo que realmente sucede.
Y para ello, no queda más remedio que considerar también las otras fuentes de verdad de la organización: documentación técnica, registros, código fuente.
Veil: tu RAT automatizado desde código, documentos y entrevistas
En Privai construimos Veil pensando exactamente en estos problemas, tanto desde ingeniería como desde el derecho.
Veil no es solamente un chatbot que le hace preguntas a tu equipo y normaliza las respuestas. Es un agente que analiza las fuentes de verdad de tu organización —las técnicas y las humanas— para construir un RAT que refleje lo que realmente pasa. Ya sea que estés documentando tu propia empresa o que seas un estudio jurídico armando RATs para múltiples clientes, Veil se adapta a ambos escenarios.
Distintas fuentes para distintos procesos
Cada actividad de tratamiento tiene su propia realidad y la mejor fuente para documentarla no siempre es la misma.
Por eso, Veil acepta:
- Conversaciones directas con el agente
- Entrevistas escritas o grabadas
- Pull requests / código fuente
- Documentos internos de tu organización
Adicionalmente, puedes trabajar con tus propias plantillas personalizadas si ya tienes un formato de RAT propio.
Cada proceso se construye a partir de una fuente principal, pero Veil conversa contigo sobre lo que encontró, te puede hacer preguntas de profundización y te permite enriquecer el análisis en la misma sesión.
No es ingesta pasiva, sino un diálogo con las fuentes de verdad
El puente entre ingeniería y legal
Veil está construido por ingenieros expertos en privacidad y validado por abogados. Para cada actividad de tratamiento genera clasificación de datos con taxonomía estandarizada (Fides), un diagrama de flujo del proceso documentado, análisis de base legal con razonamiento jurídico y una matriz de riesgo con recomendaciones de mitigación.
El análisis de riesgo y las recomendaciones de mitigación dan para un post entero, que vendrá próximamente. Por ahora, lo relevante es esto: todo el análisis y los artefactos auxiliares mencionados anteriormente se generan en sólo 5 minutos.
Un RAT que no se queda obsoleto
Cuando se integra con GitHub, Veil puede detectar cambios relevantes de forma automática: un PR que agrega un nuevo campo de datos personales, una nueva integración con un tercero o un cambio en un flujo de almacenamiento gatilla la elaboración de un nuevo borrador en tu RAT que el especialista legal puede revisar y validar.
En vez de repetir el levantamiento manual cada seis meses, el asesor recibe alertas con borradores pre-armados listos para su revisión jurídica. Pasas de un modelo de foto puntual a uno de monitoreo continuo, lo que es, en esencia, privacidad por diseño.
Revisión humana, siempre
Es importante destacar que Veil no reemplaza al DPD ni al abogado, sino que es un aliado en sus labores.
Lo que Veil genera es siempre un borrador: un punto de partida sólido, estructurado y fundamentado, pero que debe ser revisado y validado por un especialista antes de considerarse definitivo. Esto aplica tanto al levantamiento inicial como a cada nueva entrada que el monitoreo continuo detecta — la validación legal no es opcional.
Veil es una herramienta al servicio de equipos de compliance y asesores legales que les ahorra semanas de trabajo operativo, les da visibilidad técnica sobre cosas que de otra forma no verían y les permite enfocar su criterio donde más importa: en las decisiones, no en el levantamiento.
Diciembre está a la vuelta de la esquina
Falta poco para que la ley 21.719 entre en vigencia. El reloj ya está corriendo.
Y cuando la Agencia fiscalice, no va a preguntar si tenías intención de cumplir: va a revisar si puedes demostrar que lo haces. Toda organización que maneje datos personales en Chile, pública o privada, estará sujeta a este control.
Si quieres conocer cómo Veil puede ayudarte a construir tu RAT a partir de lo que realmente pasa en tu organización, pide tu cuenta de prueba en nuestro sitio web aquí o contáctanos a nuestro correo.
¿Asesoras a empresas en cumplimiento de privacidad? Pregúntanos por nuestro plan para consultores y estudios jurídicos.
En Privai fusionamos ingeniería y derecho para resolver los problemas de privacidad que conocemos de primera mano.
¿Necesitas armar tu RAT antes de diciembre? ¡Conversemos!
❤️ Este artículo fue 100% escrito por humanos