Guía práctica
Registro de Actividades de Tratamiento (RAT): guía práctica
Cómo construir un inventario útil de tratamientos de datos personales, conectado con finalidades, bases de licitud, proveedores, conservación y riesgos.
Lo esencial
- El RAT debe describir tratamientos reales, no sistemas aislados.
- Cada tratamiento debería tener finalidad, categoría de datos, titulares, base de licitud, conservación, destinatarios y medidas de seguridad.
- Un RAT útil se mantiene vivo y se conecta con solicitudes de derechos, proveedores, brechas y evaluaciones de impacto.
Qué es un tratamiento
Un tratamiento es una operación o conjunto de operaciones sobre datos personales: recolectar, registrar, almacenar, consultar, comunicar, transferir, eliminar o usar datos de cualquier forma.
Por eso, el RAT no debería organizarse solo por software. Un CRM, una planilla o un formulario pueden ser parte de varios tratamientos distintos.
Campos mínimos recomendables
Un registro práctico debería identificar nombre del tratamiento, área responsable, finalidad, categorías de titulares, categorías de datos, datos sensibles si existen, base de licitud, sistemas usados, proveedores, transferencias, plazo de conservación y medidas de seguridad.
También conviene incluir nivel de riesgo, estado de revisión, documentos asociados y fecha de última actualización.
Evidencia que conviene preparar
- Ficha de tratamiento por proceso.
- Responsable interno y fecha de revisión.
- Base de licitud y finalidad documentadas.
- Proveedor o encargado asociado cuando corresponda.
Fuentes y límite de uso
Esta guía es informativa y no reemplaza asesoría legal. La interpretación y aplicación concreta debe revisarse según la actividad, el tipo de datos, los contratos y las instrucciones vigentes de la autoridad.