Metodología

Cómo crear tu RAT desde cero, en 5 pasos

Armar un RAT no es un ejercicio legal abstracto: es un trabajo práctico y colaborativo. La clave está en entender cómo fluye el dato en la organización y dejar un registro mantenible.

Levanta la realidad, no la teoría. Haz talleres internos por área (RRHH, Comercial, Marketing, Operaciones, TI) para descubrir flujos reales.
  • Reúne a cada área con alguien de legal, compliance o TI.
  • Preguntas gatillo: “¿Dónde recoges datos de clientes o empleados?”, “¿Qué sistemas, planillas o herramientas usas?”
  • Anota sistemas, proveedores, accesos y puntos de intercambio.
Diferencia un tratamiento de una base de datos: el tratamiento es el propósito y el proceso; la base es solo el soporte.
  • Identifica tratamientos por finalidad, no por sistema.
  • Agrupa actividades similares bajo un mismo tratamiento.
  • Usa nombres claros: “Gestión del ciclo de vida del empleado”, “Facturación a clientes”, “Campañas de email marketing”.
Claridad y coherencia pesan más que el detalle excesivo. Cada campo debe ayudar a entender el tratamiento sin explicación oral.
  • Completa una fila por tratamiento identificado.
  • Usa descripciones simples y concretas en las finalidades.
  • Evita copiar y pegar textos legales largos.
  • Si algo no aplica, déjalo explícito (“no hay transferencias”, “no hay perfiles”).
Antes de darlo por cerrado, una revisión transversal asegura que finalidades, bases legales y plazos tengan sentido entre áreas.
  • Revisa el RAT con el DPO o responsable de privacidad.
  • Valida coherencia entre tratamientos similares.
  • Ajusta plazos de conservación y medidas de seguridad.
  • Deja registro de la revisión y sus ajustes.
Un RAT que no se actualiza se vuelve inútil rápido. Define desde el inicio cómo y cuándo se mantiene vivo.
  • Define una revisión periódica (trimestral o semestral).
  • Gatillos de actualización: nuevos sistemas, proveedores o contratos, nuevos tratamientos, cambios legales.
  • Asigna un responsable del mantenimiento del RAT.