⚠️ Este documento es un ejemplo ilustrativo y no constituye asesoría legal. Debe ser adaptado a la realidad de cada organización con apoyo de un profesional especializado.
1. Identificación del Responsable
| Razón social | [Nombre de la Empresa S.A.] |
| RUT | [XX.XXX.XXX-X] |
| Dirección | [Dirección completa] |
| Representante legal | [Nombre completo] |
| Delegado de protección de datos | [Nombre / cargo / email] |
| Correo de contacto para titulares | [datospersonales@empresa.cl] |
| Fecha de elaboración | [DD/MM/AAAA] |
| Versión | [1.0] |
2. Registro de Actividades de Tratamiento
Actividad 1: Gestión de clientes
| Finalidad | Gestión comercial, facturación, soporte post-venta y comunicaciones relacionadas con los servicios contratados. |
| Base de licitud | Ejecución de contrato (Art. 13 letra c) / Consentimiento del titular (Art. 12) |
| Categorías de datos | Nombre, RUT, dirección, email, teléfono, datos de facturación, historial de compras |
| Categorías de titulares | Clientes personas naturales |
| Destinatarios | Área comercial, área de finanzas, proveedor de facturación electrónica [nombre] |
| Transferencia internacional | No / Sí → [País, destinatario, garantías] |
| Plazo de conservación | Duración del contrato + 5 años (obligación tributaria) |
| Medidas de seguridad | Cifrado en tránsito (TLS), control de acceso por roles, respaldos diarios, logs de auditoría |
Actividad 2: Gestión de recursos humanos
| Finalidad | Administración de contratos laborales, remuneraciones, capacitación, evaluación de desempeño y cumplimiento de obligaciones legales laborales. |
| Base de licitud | Ejecución de contrato laboral (Art. 13 letra c) / Obligación legal (Art. 13 letra b) |
| Categorías de datos | Nombre, RUT, dirección, email, teléfono, datos bancarios, datos previsionales, datos de salud (licencias médicas), cargas familiares |
| Datos sensibles | Sí — datos de salud (licencias médicas). Base: obligación legal laboral (Art. 16 letra e) |
| Categorías de titulares | Trabajadores, ex-trabajadores |
| Destinatarios | AFP, Isapre/Fonasa, SII, Dirección del Trabajo, empresa de remuneraciones [nombre] |
| Transferencia internacional | No |
| Plazo de conservación | Duración de la relación laboral + 5 años |
| Medidas de seguridad | Acceso restringido a RRHH, cifrado de datos sensibles, respaldos cifrados, política de escritorio limpio |
Actividad 3: Marketing y comunicaciones
| Finalidad | Envío de newsletters, promociones, invitaciones a eventos y comunicaciones comerciales. |
| Base de licitud | Consentimiento del titular (Art. 12) |
| Categorías de datos | Nombre, email, empresa, cargo |
| Categorías de titulares | Suscriptores, leads, contactos comerciales |
| Destinatarios | Plataforma de email marketing [nombre del proveedor] |
| Transferencia internacional | Sí → Estados Unidos (proveedor de email marketing). Garantía: cláusulas contractuales tipo. |
| Plazo de conservación | Hasta revocación del consentimiento |
| Medidas de seguridad | Autenticación de dos factores en plataforma, listas de supresión actualizadas |
Actividad 4: Videovigilancia
| Finalidad | Seguridad de las instalaciones y protección de bienes. |
| Base de licitud | Interés legítimo del responsable (Art. 13 letra d) |
| Categorías de datos | Imágenes de video |
| Categorías de titulares | Trabajadores, visitantes, proveedores |
| Destinatarios | Empresa de seguridad [nombre], autoridades en caso de incidentes |
| Transferencia internacional | No |
| Plazo de conservación | 30 días, salvo incidentes de seguridad |
| Medidas de seguridad | Acceso restringido a grabaciones, almacenamiento local cifrado, señalética informativa visible |
3. Evaluación de riesgos
| Actividad | Riesgo identificado | Probabilidad | Impacto | Medida de mitigación |
|---|
| Gestión de clientes | Acceso no autorizado a datos de facturación | Media | Alto | Control de acceso por roles + MFA |
| RRHH | Filtración de datos de salud | Baja | Muy alto | Cifrado + acceso restringido solo a RRHH |
| Marketing | Envío sin consentimiento válido | Media | Medio | Doble opt-in + registro de consentimiento |
| Videovigilancia | Retención excesiva de grabaciones | Media | Medio | Eliminación automática a los 30 días |
4. Control de versiones
| Versión | Fecha | Autor | Cambios |
|---|
| 1.0 | [DD/MM/AAAA] | [Nombre del DPO] | Versión inicial |
📌 Referencia legal
Este RAT se elabora en cumplimiento del deber de información y transparencia (Art. 14 ter) y del deber de adoptar medidas de seguridad (Art. 14 quinquies) de la Ley 21.719.