Cuando un consultor Ley 21.719 empieza a trabajar con una empresa, lo primero que construye no es la política de privacidad: es el RAT. Es el mapa sobre el que se apoya todo lo demás: sin saber qué datos tratas, dónde están y para qué los usas, es imposible redactar una política honesta, responder una solicitud ARCO+P+B a tiempo o evaluar si necesitas una EIPD.

RAT Inventario obligatorio de tratamientos de datos
EIPD Obligatoria para tratamientos de alto riesgo
Vivo Ambos deben actualizarse, no son de una sola vez

¿Qué es el RAT?

El Registro de Actividades de Tratamiento (RAT) es el documento que detalla, para cada proceso de negocio que involucra datos personales, la siguiente información:

  • Qué categorías de datos se recopilan (identificación, contacto, financieros, salud, etc.).
  • Con qué finalidad se tratan (facturación, marketing, RRHH, atención al cliente).
  • Base de licitud del tratamiento (consentimiento, ejecución de contrato, obligación legal).
  • Dónde se almacenan (sistemas, proveedores cloud, planillas).
  • Quiénes tienen acceso, internos y externos (encargados de tratamiento, proveedores).
  • Si existen transferencias internacionales de datos.
  • Plazo de conservación y criterio de eliminación.
  • Medidas de seguridad aplicadas.

Cómo construir el RAT paso a paso

1
Mapear los procesos de negocio Lista todos los procesos que tocan datos de personas: ventas, RRHH, marketing, atención al cliente, cobranza, logística. No pienses en "sistemas" todavía, piensa en procesos.
2
Entrevistar a cada área Cada jefatura sabe qué datos maneja su equipo mejor que nadie. Un RAT construido solo desde TI o legal, sin hablar con RRHH, ventas o atención al cliente, siempre tiene huecos.
3
Identificar sistemas y proveedores CRM, ERP, planillas Excel, WhatsApp Business, plataformas de pago, servicios de email marketing: cualquier lugar donde vivan datos personales debe quedar registrado.
4
Clasificar por sensibilidad Marca qué tratamientos involucran datos sensibles (salud, biométricos, datos de menores): estos son los candidatos naturales a requerir una EIPD.
5
Definir el proceso de mantención El RAT se desactualiza rápido. Define quién lo revisa (típicamente el DPO) y con qué frecuencia: cada vez que se incorpora un nuevo sistema o proveedor.
El error más común: construir el RAT una sola vez para "cumplir el trámite" y nunca más tocarlo. La Agencia de Protección de Datos puede solicitarlo en cualquier fiscalización, y un RAT desactualizado es tan riesgoso como no tenerlo.

¿Qué es la EIPD (o DPIA)?

La Evaluación de Impacto en la Protección de Datos (EIPD), conocida también por su sigla en inglés DPIA, es un análisis formal que responde una pregunta simple pero exigente: si este tratamiento de datos sale mal, ¿qué tan grave sería el daño para las personas afectadas, y qué estamos haciendo para reducir ese riesgo antes de empezar?

¿Cuándo es obligatoria una EIPD?

La Ley 21.719 exige una EIPD antes de iniciar tratamientos de alto riesgo, entre ellos:

  • Tratamiento a gran escala de datos sensibles (salud, biométricos, datos de menores).
  • Perfilamiento o scoring automatizado que produzca efectos legales o significativos sobre las personas.
  • Vigilancia sistemática de espacios de acceso público a gran escala.
  • Cruce o combinación de bases de datos de distintos orígenes a gran escala.

Cómo hacer una EIPD

1
Describir el tratamiento Qué datos, de quiénes, con qué finalidad, por cuánto tiempo y con qué tecnología (ej. un modelo de IA, una cámara de reconocimiento facial).
2
Evaluar la necesidad y proporcionalidad ¿Es este tratamiento realmente necesario para el fin que se busca, o existe una alternativa menos invasiva?
3
Identificar riesgos para los titulares Discriminación, pérdida de control sobre sus datos, daño reputacional, daño financiero, exposición de información sensible.
4
Definir medidas de mitigación Anonimización, cifrado, límites de acceso, revisión humana de decisiones automatizadas, plazos de conservación acotados.
5
Documentar y aprobar La EIPD debe quedar firmada por el DPO y disponible para la Agencia en caso de fiscalización, antes de que el tratamiento entre en producción.
Automatiza la alerta, no la decisión. El plan Cumplimiento de iDataSeguro incluye alerta automática cuando un nuevo tratamiento registrado en el RAT cumple criterios de alto riesgo, para que nunca se te pase la obligación de hacer la EIPD antes de lanzar.

Conclusión

El RAT y la EIPD no son papeleo para archivar: son las herramientas con las que tu empresa demuestra, ante una fiscalización o ante un cliente que exige acreditación, que efectivamente sabe qué hace con los datos que maneja. Construirlos bien desde el principio ahorra semanas de trabajo reactivo más adelante.

Preguntas frecuentes

Construyamos tu RAT y evaluemos tus EIPD pendientes

El diagnóstico inicial incluye el levantamiento del inventario de datos de tu empresa. Sin costo, en 48 horas.