Qué es el RAT y por qué la SPDP lo exige primero en cualquier inspección
El Registro de Actividades de Tratamiento es la columna vertebral del cumplimiento normativo bajo la LOPDP Ecuador. Sin él, no hay evidencia de cumplimiento. Con él incompleto o desactualizado, el riesgo es casi igual. Esta guía te explica qué debe contener, cómo construirlo y cómo mantenerlo vivo.
Qué es el RAT
El Registro de Actividades de Tratamiento (RAT) es el inventario formal y estructurado de todos los tratamientos de datos personales que realiza una organización. No es un documento estático — es un artefacto vivo que refleja en todo momento qué datos trata la empresa, para qué finalidad, con qué base de licitud, dónde se almacenan, cuánto tiempo se conservan y a quién se comunican.
Bajo la LOPDP Ecuador, el RAT es obligatorio para todo responsable y encargado del tratamiento. No tiene un formato único establecido por la SPDP, pero sí un contenido mínimo que se deriva del Art. 13 LOPDP y de las guías técnicas emitidas por la SPDP.
En cualquier inspección, proceso sancionador o solicitud de información por parte de la SPDP, el RAT es el primer documento que se requiere. Sin un RAT actualizado, la organización no puede demostrar que conoce sus propios tratamientos de datos — lo que la SPDP interpreta como ausencia total de cumplimiento.
Qué debe contener el RAT según la LOPDP
El RAT debe documentar, por cada actividad de tratamiento, al menos los siguientes elementos:
- Nombre y datos de contacto del responsable del tratamiento y, si aplica, del DPO
- Finalidad del tratamiento — para qué se tratan esos datos específicamente
- Descripción de las categorías de titulares — clientes, empleados, proveedores, etc.
- Categorías de datos personales — datos de identificación, contacto, financieros, de salud, etc.
- Base de licitud — cuál de los supuestos del Art. 13 LOPDP justifica el tratamiento
- Destinatarios y transferencias — a quién se comunican los datos, incluyendo transferencias internacionales
- Plazos de conservación — cuánto tiempo se guardan los datos
- Descripción de medidas de seguridad técnicas y organizativas
Por qué la mayoría de RAT están incompletos o son inútiles
El error más frecuente que encontramos al diagnosticar empresas ecuatorianas es construir el RAT antes de entender realmente qué datos trata la organización. El resultado es un documento que describe lo que la empresa cree que hace, no lo que realmente hace.
Algunos síntomas de un RAT deficiente:
- No incluye tratamientos de datos de empleados — solo de clientes
- No refleja los tratamientos realizados por proveedores que tienen acceso a datos de la empresa
- Las bases de licitud son genéricas ("consentimiento") sin análisis de cada tratamiento específico
- Los plazos de conservación dicen "mientras sea necesario" sin criterio normativo
- No se ha actualizado tras incorporar nuevos sistemas, procesos o proveedores
El RAT debe construirse después de un diagnóstico real: mapeo de procesos en BPMN, entrevistas con las áreas, revisión de contratos con proveedores y verificación de los sistemas tecnológicos. Construir el RAT sin este diagnóstico previo produce un documento de papel que no sirve ante la SPDP.
Cómo se estructura el RAT: los macroprocesos
La forma más operativa de organizar el RAT es por macroprocesos de la organización. Cada macroproceso que involucra datos personales tiene su ficha dentro del RAT. Los macroprocesos más comunes en empresas medianas ecuatorianas incluyen:
- Gestión de clientes — captación, onboarding, facturación, servicio postventa
- Gestión de empleados — selección, nómina, beneficios, control de asistencia
- Gestión de proveedores — calificación, contratos, pagos
- Marketing y comunicaciones — campañas, email marketing, redes sociales
- Sistemas tecnológicos — ERP, CRM, sistemas de seguridad (cámaras, control de acceso)
La obligación de mantener el RAT actualizado
El RAT no es un proyecto que se hace una vez. Debe actualizarse cada vez que:
- Se lanza un nuevo producto, servicio o canal que involucra datos personales
- Se incorpora un nuevo proveedor con acceso a datos de titulares
- Cambia la finalidad de un tratamiento existente
- Se modifica un sistema tecnológico que trata datos personales
- Vence o cambia el plazo de conservación de algún conjunto de datos
En la práctica, una empresa en crecimiento debería revisar su RAT al menos trimestralmente y ante cualquier cambio operativo significativo.
RAT y transferencias internacionales: un punto crítico
La Resolución SPDP-SPD-2025-0028-R sobre transferencias internacionales de datos exige que las transferencias a terceros países estén documentadas y cuenten con los mecanismos de garantía adecuados (CCM-RIPD, DPA con encargados cloud, etc.). El RAT es el documento que acredita que la organización ha identificado y formalizado estas transferencias.
Muchas empresas ecuatorianas transfieren datos internacionalmente sin saberlo: usan Google Workspace, AWS, Salesforce, HubSpot, plataformas de pago internacionales. Cada uno de estos es una transferencia internacional que debe estar en el RAT y tener su instrumento jurídico correspondiente.
¿Tu empresa tiene un RAT real?
En DataGuard construimos y mantenemos el RAT como parte del servicio recurrente — no como un entregable puntual. La diferencia es que el RAT de Wiibiq refleja lo que tu empresa realmente hace, no lo que cree que hace.
Evaluar mi RAT gratuitamente →Resumen operativo
- El RAT es obligatorio bajo la LOPDP y es el primer documento que pide la SPDP
- Debe construirse después de un diagnóstico real de procesos y datos — no antes
- Cubre todas las actividades de tratamiento: clientes, empleados, proveedores y sistemas
- Debe actualizarse ante cualquier cambio en procesos, sistemas o proveedores
- Las transferencias internacionales (incluidos servicios cloud) deben estar documentadas en el RAT
- Un RAT desactualizado o incompleto ofrece casi la misma exposición que no tener ninguno