Cómo automatizar el RAT de la Ley 21.719 (y dejar de mantenerlo a mano)
Mantener el Registro de Actividades de Tratamiento en Excel no escala. Así automatiza DPOLab el RAT exigido por el Art. 14 de la Ley 21.719: scoring de riesgo, vínculo con sistemas y verificación previa.
El Registro de Actividades de Tratamiento (RAT) es la columna vertebral del cumplimiento de la Ley 21.719. El Art. 14 obliga a llevarlo y, en la práctica, es lo primero que pide un fiscalizador. El problema no es crearlo —una planilla basta para la primera versión— sino mantenerlo fiel a lo que tu organización realmente hace con los datos, mes a mes, mientras el negocio cambia.
Si gestionas la infraestructura y los sistemas de una empresa, ya conoces el patrón: el Excel nace ordenado, alguien lo llena con dedicación y al tercer mes nadie lo vuelve a abrir. Cuando llega la auditoría, el registro describe una realidad que dejó de existir hace dos releases.
El RAT no es un documento: es un sistema vivo
Un tratamiento cambia cuando entra un proveedor nuevo, cuando se habilita una integración o cuando un equipo empieza a usar otra herramienta. Cada uno de esos cambios debería actualizar la base legal, las categorías de datos o las transferencias asociadas. En una planilla, ese trabajo es manual, depende de que alguien se acuerde, y no deja rastro de quién cambió qué.
Automatizar el RAT significa convertir ese documento estático en un registro que reacciona a la estructura real de tu organización.
Automatización 1 — El riesgo se calcula solo
Clasificar el riesgo de cada actividad a mano es lento y subjetivo. DPOLab lo calcula combinando las categorías de datos involucradas, el volumen, las transferencias internacionales y la base legal. El resultado ubica cada tratamiento en bajo, medio, alto o crítico, y deja en evidencia cuáles requieren una Evaluación de Impacto (DPIA) antes de que se vuelvan un problema.
Automatización 2 — Trazabilidad con el mapa de datos
Aquí está la diferencia de fondo con una planilla. Cada actividad se vincula con los sistemas que efectivamente almacenan o procesan los datos —con su rol: recolección, almacenamiento, procesamiento o transferencia— y con los flujos entre ellos. Eso convierte el RAT en algo trazable de extremo a extremo: puedes responder qué dato vive en qué sistema y por qué, que es justamente lo que se pregunta en una fiscalización o tras una brecha.
Automatización 3 — Verificación del Art. 14 antes de activar
Un RAT incompleto da una falsa sensación de cumplimiento. Antes de pasar una actividad a estado activo, DPOLab verifica que el registro contenga los elementos exigidos por las obligaciones del responsable (Art. 14 y concordantes de la Ley 21.719): finalidad, base legal, categorías de datos, titulares, plazo de retención, medidas de seguridad y responsable. Si falta algo, no se activa. Dejas de descubrir los huecos el día de la auditoría.
Del levantamiento al registro vivo
Partir de cero es el otro gran freno. En lugar de una hoja en blanco, puedes levantar el RAT desde una plantilla por industria, desde tu mapa de datos, con asistencia de IA o por carga masiva CSV. Un consultor puede dejar el registro de una pyme funcionando en una sola sesión, y desde ahí se refina en vez de inventarse.
Lo que ganas
Automatizar el RAT no es cambiar Excel por una herramienta más bonita. Es pasar de un documento que envejece a un registro que:
- Se mantiene fiel porque está conectado a tus sistemas y flujos reales.
- Prioriza por riesgo, señalando qué necesita una DPIA.
- No se activa incompleto, gracias a la verificación del Art. 14.
- Deja trazabilidad de cada cambio, lista para una fiscalización.
Es la diferencia entre tener un RAT y poder defenderlo.
Si quieres ver cómo se vería con tus propios tratamientos, agenda un diagnóstico o pide una prueba. Y si prefieres acompañamiento para el levantamiento inicial, el equipo de Codevsys ofrece la implementación guiada.