Metodología
Cómo crear tu RAT desde cero, en 5 pasos
Armar un RAT no es un ejercicio legal abstracto: es un trabajo práctico y colaborativo. La clave está en entender cómo fluye el dato en la organización y dejar un registro mantenible.
Levanta la realidad, no la teoría. Haz talleres internos por área (RRHH, Comercial, Marketing, Operaciones, TI) para descubrir flujos reales.
- Reúne a cada área con alguien de legal, compliance o TI.
- Preguntas gatillo: “¿Dónde recoges datos de clientes o empleados?”, “¿Qué sistemas, planillas o herramientas usas?”
- Anota sistemas, proveedores, accesos y puntos de intercambio.
Diferencia un tratamiento de una base de datos: el tratamiento es el propósito y el proceso; la base es solo el soporte.
- Identifica tratamientos por finalidad, no por sistema.
- Agrupa actividades similares bajo un mismo tratamiento.
- Usa nombres claros: “Gestión del ciclo de vida del empleado”, “Facturación a clientes”, “Campañas de email marketing”.
Claridad y coherencia pesan más que el detalle excesivo. Cada campo debe ayudar a entender el tratamiento sin explicación oral.
- Completa una fila por tratamiento identificado.
- Usa descripciones simples y concretas en las finalidades.
- Evita copiar y pegar textos legales largos.
- Si algo no aplica, déjalo explícito (“no hay transferencias”, “no hay perfiles”).
Antes de darlo por cerrado, una revisión transversal asegura que finalidades, bases legales y plazos tengan sentido entre áreas.
- Revisa el RAT con el DPO o responsable de privacidad.
- Valida coherencia entre tratamientos similares.
- Ajusta plazos de conservación y medidas de seguridad.
- Deja registro de la revisión y sus ajustes.
Un RAT que no se actualiza se vuelve inútil rápido. Define desde el inicio cómo y cuándo se mantiene vivo.
- Define una revisión periódica (trimestral o semestral).
- Gatillos de actualización: nuevos sistemas, proveedores o contratos, nuevos tratamientos, cambios legales.
- Asigna un responsable del mantenimiento del RAT.