Datos Personales 8 min de lectura 11 julio 2026 Ley 21.719
RAT y EIPD: Cómo Hacerlos Paso a Paso Bajo la Ley 21.719
El Registro de Actividades de Tratamiento (RAT) y la Evaluación de Impacto en la Protección de Datos (EIPD) son las dos herramientas documentales centrales que exige la Ley 21.719. Sin ellas, no hay programa de cumplimiento real, solo una política de privacidad de vitrina. Te explicamos cómo construir ambas.
Cuando un consultor Ley 21.719 empieza a trabajar con una empresa, lo primero que construye no es la política de privacidad: es el RAT. Es el mapa sobre el que se apoya todo lo demás: sin saber qué datos tratas, dónde están y para qué los usas, es imposible redactar una política honesta, responder una solicitud ARCO+P+B a tiempo o evaluar si necesitas una EIPD.
RATInventario obligatorio de tratamientos de datos
EIPDObligatoria para tratamientos de alto riesgo
VivoAmbos deben actualizarse, no son de una sola vez
¿Qué es el RAT?
El Registro de Actividades de Tratamiento (RAT) es el documento que detalla, para cada proceso de negocio que involucra datos personales, la siguiente información:
Qué categorías de datos se recopilan (identificación, contacto, financieros, salud, etc.).
Con qué finalidad se tratan (facturación, marketing, RRHH, atención al cliente).
Base de licitud del tratamiento (consentimiento, ejecución de contrato, obligación legal).
Dónde se almacenan (sistemas, proveedores cloud, planillas).
Quiénes tienen acceso, internos y externos (encargados de tratamiento, proveedores).
Si existen transferencias internacionales de datos.
Plazo de conservación y criterio de eliminación.
Medidas de seguridad aplicadas.
Cómo construir el RAT paso a paso
1
Mapear los procesos de negocioLista todos los procesos que tocan datos de personas: ventas, RRHH, marketing, atención al cliente, cobranza, logística. No pienses en "sistemas" todavía, piensa en procesos.
2
Entrevistar a cada áreaCada jefatura sabe qué datos maneja su equipo mejor que nadie. Un RAT construido solo desde TI o legal, sin hablar con RRHH, ventas o atención al cliente, siempre tiene huecos.
3
Identificar sistemas y proveedoresCRM, ERP, planillas Excel, WhatsApp Business, plataformas de pago, servicios de email marketing: cualquier lugar donde vivan datos personales debe quedar registrado.
4
Clasificar por sensibilidadMarca qué tratamientos involucran datos sensibles (salud, biométricos, datos de menores): estos son los candidatos naturales a requerir una EIPD.
5
Definir el proceso de mantenciónEl RAT se desactualiza rápido. Define quién lo revisa (típicamente el DPO) y con qué frecuencia: cada vez que se incorpora un nuevo sistema o proveedor.
El error más común: construir el RAT una sola vez para "cumplir el trámite" y nunca más tocarlo. La Agencia de Protección de Datos puede solicitarlo en cualquier fiscalización, y un RAT desactualizado es tan riesgoso como no tenerlo.
¿Qué es la EIPD (o DPIA)?
La Evaluación de Impacto en la Protección de Datos (EIPD), conocida también por su sigla en inglés DPIA, es un análisis formal que responde una pregunta simple pero exigente: si este tratamiento de datos sale mal, ¿qué tan grave sería el daño para las personas afectadas, y qué estamos haciendo para reducir ese riesgo antes de empezar?
¿Cuándo es obligatoria una EIPD?
La Ley 21.719 exige una EIPD antes de iniciar tratamientos de alto riesgo, entre ellos:
Tratamiento a gran escala de datos sensibles (salud, biométricos, datos de menores).
Perfilamiento o scoring automatizado que produzca efectos legales o significativos sobre las personas.
Vigilancia sistemática de espacios de acceso público a gran escala.
Cruce o combinación de bases de datos de distintos orígenes a gran escala.
Cómo hacer una EIPD
1
Describir el tratamientoQué datos, de quiénes, con qué finalidad, por cuánto tiempo y con qué tecnología (ej. un modelo de IA, una cámara de reconocimiento facial).
2
Evaluar la necesidad y proporcionalidad¿Es este tratamiento realmente necesario para el fin que se busca, o existe una alternativa menos invasiva?
3
Identificar riesgos para los titularesDiscriminación, pérdida de control sobre sus datos, daño reputacional, daño financiero, exposición de información sensible.
4
Definir medidas de mitigaciónAnonimización, cifrado, límites de acceso, revisión humana de decisiones automatizadas, plazos de conservación acotados.
5
Documentar y aprobarLa EIPD debe quedar firmada por el DPO y disponible para la Agencia en caso de fiscalización, antes de que el tratamiento entre en producción.
Automatiza la alerta, no la decisión. El plan Cumplimiento de iDataSeguro incluye alerta automática cuando un nuevo tratamiento registrado en el RAT cumple criterios de alto riesgo, para que nunca se te pase la obligación de hacer la EIPD antes de lanzar.
Conclusión
El RAT y la EIPD no son papeleo para archivar: son las herramientas con las que tu empresa demuestra, ante una fiscalización o ante un cliente que exige acreditación, que efectivamente sabe qué hace con los datos que maneja. Construirlos bien desde el principio ahorra semanas de trabajo reactivo más adelante.
Preguntas frecuentes
El RAT (Registro de Actividades de Tratamiento) es el inventario documentado de todos los tratamientos de datos personales que realiza una empresa: qué datos se recopilan, con qué finalidad, dónde se almacenan, quién tiene acceso, con quién se comparten y cuánto tiempo se conservan. Es la base documental de todo programa de cumplimiento bajo la Ley 21.719.
La EIPD (Evaluación de Impacto en la Protección de Datos), también llamada DPIA, es un análisis formal de los riesgos que un tratamiento de datos representa para los titulares. Es obligatoria antes de iniciar tratamientos de alto riesgo, como el uso masivo de datos sensibles (salud, biométricos), el perfilamiento automatizado de personas o la vigilancia sistemática a gran escala.
No. El RAT debe actualizarse cada vez que la empresa incorpora un nuevo sistema, proveedor o finalidad de tratamiento; es un documento vivo. La EIPD se realiza por cada tratamiento de alto riesgo nuevo, y debe revisarse si cambian las condiciones del tratamiento evaluado.
Construyamos tu RAT y evaluemos tus EIPD pendientes
El diagnóstico inicial incluye el levantamiento del inventario de datos de tu empresa. Sin costo, en 48 horas.