Ley 21.719 · Art. 14 ter

Registro de actividades
de tratamiento de datos

El registro de tratamiento es el inventario interno que documenta todos los datos personales que trata tu empresa. Es el punto de partida de toda la gestión de privacidad y la base para construir el catálogo y la política exigidos por la Ley 21.719.

Evalúa tu cumplimiento gratis →Volver a Ley 21.719
Qué es

¿Por qué es el punto de partida?

No puedes proteger datos que no sabes que tienes. El registro de tratamiento obliga a las áreas de la organización a declarar qué datos personales gestionan, con qué fin y bajo qué base legal. Sin este inventario, el cumplimiento es imposible.

El registro interno es más detallado que el catálogo público (Art. 14 ter): incluye los sistemas donde viven los datos, quién tiene acceso, los encargados del tratamiento y los riesgos detectados. Es el instrumento de auditoría interna que demuestra que la organización tiene control real sobre sus datos personales.

En caso de investigación del CPLT o la Agencia de Protección de Datos, el registro es la primera evidencia de diligencia que presentará tu empresa.

Qué incluir

Los 14 campos del registro de tratamiento

Los campos marcados como obligatorios son los requeridos para elaborar el catálogo público y la política de datos. Los campos adicionales son necesarios para la gestión interna y la auditoría.

#CampoTipo
01

Categoría y tipo de datos

Nombre, RUT, correo, datos de salud, biométricos, etc. Indicar si son datos sensibles.

Base
02

Universo de titulares

Clientes, empleados, proveedores, visitantes, menores de edad, etc.

Base
03

Finalidad del tratamiento

¿Para qué se usan estos datos? Debe ser específica, explícita y lícita.

Base
04

Base de licitud

Consentimiento, contrato, obligación legal, interés legítimo, protección de intereses vitales.

Base
05

Fuente de los datos

¿El titular los entregó directamente? ¿Vinieron de terceros o fuentes públicas?

Base
06

Destinatarios y cesionarios

Terceros a quienes se comunican o ceden los datos, incluidos proveedores cloud y encargados.

Base
07

Transferencias internacionales

País destino, empresa, tipo de garantía aplicada (DPA, CCT, etc.).

Base
08

Período de conservación

Cuánto tiempo se guardan y cuáles son las condiciones de eliminación o anonimización.

Base
09

Responsables internos

Qué área o cargo es dueño del dato y quién lo gestiona operativamente.

Detalle
10

Sistemas y plataformas asociadas

CRM, ERP, bases de datos, software, almacenamiento cloud donde residen los datos.

Detalle
11

Áreas con acceso

Qué departamentos internos tienen acceso y en qué nivel (lectura, escritura, administración).

Detalle
12

Medidas de seguridad

Controles técnicos y organizacionales aplicados a este tratamiento específico.

Detalle
13

Decisiones automatizadas

Si aplica: descripción de la lógica utilizada y sus consecuencias para el titular.

Detalle
14

Riesgos detectados

Brechas de cumplimiento o riesgos de seguridad identificados en este tratamiento.

Detalle
Paso a paso

Cómo construir el registro en tu empresa

01

Definir el alcance

Decide qué áreas y sistemas abarca el levantamiento: RRHH, clientes, proveedores, marketing, soporte. Incluye todos los flujos donde circulan datos personales, no solo las bases de datos formales.

02

Distribuir el cuestionario a cada área

Cada área responsable de un tratamiento completa una ficha por tipo de dato. El área de RRHH documenta los datos de empleados, el área comercial los de clientes, TI los de acceso a sistemas, etc.

03

Consolidar y validar las fichas

El encargado de privacidad revisa las fichas para detectar inconsistencias, falta de base legal, datos sensibles sin declarar o tratamientos sin responsable claro.

04

Identificar brechas de cumplimiento

Marca los tratamientos sin base de licitud, sin contrato de encargo, con transferencias internacionales sin garantías, o con períodos de conservación indefinidos. Estas son las brechas que debes resolver.

05

Mantener el registro actualizado

El registro no es un proyecto único: debe actualizarse ante cambios en los sistemas, nuevos proveedores, nuevas finalidades o cambios en la estructura organizacional. Revísalo al menos anualmente.

FAQ

Preguntas frecuentes

¿Qué es el registro de actividades de tratamiento?

Un inventario interno que documenta todos los tratamientos de datos que realiza la organización: qué datos, de quién, para qué, bajo qué base legal, quién accede y dónde se almacenan. Es la base para construir el catálogo público y la política de datos exigidos por la Ley 21.719.

¿Es obligatorio publicarlo?

El registro interno no se publica, pero es el insumo del catálogo de datos personales (Art. 14 ter) que sí debe estar disponible públicamente. En caso de investigación del CPLT, el registro es la primera evidencia de diligencia que presentará tu empresa.

¿En qué formato debe estar?

La ley no exige formato específico. Puede ser una planilla Excel, Notion, herramienta de gestión de privacidad o cualquier sistema que permita mantenerlo actualizado. Lo importante es que esté disponible para auditoría y se revise ante cambios significativos.

¿Qué diferencia hay entre el registro y el catálogo público?

El registro interno es más detallado: incluye sistemas, accesos internos, responsables y riesgos. El catálogo público (Art. 14 ter) es la versión simplificada para los titulares: categorías de datos, finalidades, base de licitud, destinatarios y período de conservación.

Más sobre Ley 21.719

← Guía completaPlazos y fechasResponsable y encargadoDatos sensiblesMultas y sanciones

¿Tu empresa tiene un registro de tratamiento?

Te ayudamos a construirlo desde cero o a validar el que tienes frente a los requisitos de la Ley 21.719.

Hacer diagnóstico gratis →Ver consultoría completa