Cumplimiento LOPDP

Cómo armar su Registro de Actividades de Tratamiento (RAT) sin contratar consultora

El RAT es el documento que la SPDP pide primero en cualquier inspección. No requiere consultora externa ni software especializado — requiere disciplina y una plantilla. Este artículo le da la plantilla, un ejemplo diligenciado y la cadencia de actualización para empresas medianas.

📅 30 de abril de 2026 · ✍️ Equipo StatusEC · ⏱ 10 min de lectura
Este artículo desarrolla una de las secciones de la Guía completa LOPDP 2026. Si busca una visión general antes de entrar en el detalle, empiece por la guía.

El Registro de Actividades de Tratamiento (RAT) es la columna vertebral del expediente de responsabilidad demostrada. Es también el documento que la SPDP requirió primero en los procedimientos contra LIGAPRO y la FEF. Armar uno no requiere consultora externa, pero sí requiere un método consistente y participación de varias áreas.

Qué es el RAT y por qué importa

El RAT es un inventario documentado de todas las actividades en las que su empresa trata datos personales. No es un PDF firmado una vez al año — es un documento vivo que se actualiza cuando cambia un proveedor, cuando nace una nueva actividad, cuando se incorpora un nuevo tipo de dato.

Su función es doble: sirve para gobernar internamente (nadie puede proteger lo que no sabe que trata) y sirve para demostrar cumplimiento externamente (la SPDP pide el RAT como primer documento en cualquier requerimiento).

Base normativa. El RAT está regulado principalmente en el artículo 38 del Reglamento General de la LOPDP (Decreto Ejecutivo 904). El Reglamento establece que el responsable con 100 o más trabajadores debe llevar un RAT, obligación extendida por el artículo 39 a responsables con menos trabajadores cuando el tratamiento implique riesgo, sea continuo o incluya categorías especiales de datos. En la práctica, casi toda organización que trata datos sistemáticamente está obligada.

Las columnas mínimas que exige el Art. 38 del Reglamento

El artículo 38 establece el contenido mínimo. La estructura concreta queda a discreción de la organización — lo que importa es que los campos estén cubiertos. Estas son las columnas que toda plantilla debe contener:

Columna Qué va aquí
ID de la actividad Código interno único (ej. "RAT-001"). Facilita referenciarlo en otros documentos.
Nombre de la actividad Descripción breve: "Gestión de nómina", "Verificación de antecedentes pre-contratación", "Videovigilancia en instalaciones".
Responsable del tratamiento Razón social, RUC, dirección, correo de contacto.
Corresponsable (si aplica) Datos de contacto del corresponsable cuando existe una decisión conjunta.
DPD (si aplica) Datos de contacto del Delegado de Protección de Datos.
Finalidad del tratamiento Por qué se tratan los datos, en términos concretos (no "fines comerciales" — algo específico).
Base legal Art. 7 consentimiento, Art. 9 interés legítimo, obligación legal, ejecución de contrato, etc.
Categorías de titulares Empleados activos, ex-empleados, clientes, candidatos, proveedores, visitantes, etc.
Categorías de datos Identificación, contacto, laborales, biométricos, salud, financieros. Marcar si son categorías especiales.
Destinatarios internos y externos Áreas internas + proveedores + entidades públicas a las que se comunican los datos.
Transferencias internacionales Países destino + base legal aplicada (decisión de adecuación, cláusulas contractuales, excepción específica).
Plazo de conservación Cuánto tiempo se conservan los datos después de cumplir la finalidad, con justificación (obligación legal, estadística, etc.).
Medidas técnicas Cifrado, control de accesos, respaldo, segregación, trazabilidad.
Medidas organizativas Políticas internas, capacitación, roles, acuerdos de confidencialidad.
Fecha de creación y última actualización Trazabilidad de quién revisó y cuándo.

Un ejemplo diligenciado: "Verificación de antecedentes pre-contratación"

Para aterrizar la plantilla, veamos cómo se llena una fila real. Esta es una actividad típica de RRHH en cualquier empresa mediana.

ColumnaValor
IDRAT-007
NombreVerificación de antecedentes pre-contratación
Responsable[Razón Social] S.A., RUC [XXXXXXXXXXXX], [Dirección], info@[empresa].com
CorresponsableN/A
DPD[Nombre DPD], dpd@[empresa].com
FinalidadVerificar antecedentes penales, judiciales y laborales de candidatos a puestos con acceso a información sensible o activos financieros, antes de suscribir contrato.
Base legalConsentimiento expreso del candidato (Art. 7 LOPDP), recabado al inicio del proceso.
Categorías de titularesCandidatos a contratación.
Categorías de datosIdentificación (cédula, nombre, fecha de nacimiento), antecedentes penales y judiciales (categoría especial).
DestinatariosÁrea de RRHH, Gerencia General (solo reporte consolidado), proveedor de verificación (StatusEC o equivalente).
Transferencias internacionalesNo aplica — proveedor domiciliado en Ecuador.
Plazo de conservación90 días desde la decisión de contratación (si candidato no fue contratado); mientras dure la relación laboral + 5 años desde su terminación (si fue contratado, para obligaciones laborales).
Medidas técnicasPortal cifrado HTTPS; acceso restringido por rol a RRHH; logs de consulta; cifrado en reposo del proveedor.
Medidas organizativasPolítica interna de selección; capacitación anual a RRHH en LOPDP; acuerdo de encargado firmado con proveedor; formulario de consentimiento estandarizado.
Creación / última actualizaciónCreado 15-01-2026 / Actualizado 23-04-2026 por [Nombre].

Repita el mismo ejercicio para cada actividad que identifique. Una empresa mediana típica termina con entre 15 y 40 filas en su RAT.

Cómo levantar el RAT desde cero

Un RAT no se improvisa llenando la plantilla a ciegas. El paso previo es identificar qué actividades trata su empresa. Estos son los 5 pasos:

  1. Designe un líder. Si tiene DPD, es su tarea. Si no, un líder de compliance o de operaciones con acceso a todas las áreas.
  2. Entreviste cada área. RRHH, Ventas, Marketing, TI, Operaciones, Finanzas, Legal. Pregunte: "¿qué datos personales recaban, para qué, dónde los guardan, a quién se los pasan?". Una hora por área en empresas medianas suele alcanzar.
  3. Consolide un primer borrador. Una fila por actividad identificada. Esperen tener 30-50 filas iniciales que luego se decanten a 15-25 reales.
  4. Valide con cada área. Devuelva el borrador a cada área para que confirmen finalidad, destinatarios y plazos. Aquí se depura la mitad de imprecisiones.
  5. Firme la versión 1.0. Representante legal + líder del proyecto. Archive en su sistema documental con fecha.

¿Verificación de antecedentes es una de sus actividades de RAT?

Si es así, StatusEC automatiza la trazabilidad: consentimientos firmados digitalmente, logs de consulta, registros por titular. Se integra como evidencia de las medidas técnicas y organizativas que su RAT declara.

Agendar demo de 15 min

Cadencia de actualización

El RAT actualizado una vez y olvidado no cumple. La LOPDP exige un RAT vivo. Cadencia recomendada:

  • Revisión continua (evento-driven): cada vez que nace una actividad nueva, se cambia un proveedor, se añade un tipo de dato o cambia la finalidad, se actualiza la fila correspondiente antes de ejecutar el cambio.
  • Revisión trimestral: el DPD o líder de compliance corre una checklist con cada área para capturar cambios menores que no fueron escalados.
  • Revisión anual completa: una vez al año, revisión integral con representante legal. Se firma una nueva versión.
  • Revisión ad-hoc en eventos de riesgo: cambio de sistemas core, adquisición de empresa, incidente de seguridad.

Errores comunes que la SPDP detecta en inspección

  • RAT solo jurídico. Listado genérico redactado por Legal sin participación de las áreas operativas. Las columnas están pero no reflejan lo que realmente pasa.
  • Finalidades vagas. "Fines comerciales", "gestión interna", "mejora del servicio". Finalidades amplias son infracción porque impiden verificar el principio de finalidad.
  • Base legal mal clasificada. Marcar "consentimiento" cuando la base real es la ejecución de un contrato laboral, o viceversa.
  • Retenciones indefinidas. "Hasta que el titular lo solicite" no es un plazo — es una evasión. El plazo debe justificarse con una regla concreta.
  • Destinatarios incompletos. No listar al proveedor cloud donde se almacenan los datos es un error típico y grave.
  • Sin fecha de actualización. RATs sin fechas sugieren que nunca se actualizan — agravante en inspección.

Preguntas frecuentes

¿Es obligatorio tener el RAT en un sistema específico?

No. La LOPDP no exige software ni formato. Puede ser una hoja de cálculo, una wiki interna o un sistema documental. Lo que importa es que cumpla el contenido del Art. 38 del Reglamento y que esté actualizado. Para empresas de 50-200 empleados, una hoja de cálculo bien estructurada suele ser suficiente.

¿El RAT hay que enviarlo a la SPDP?

No se envía proactivamente. La SPDP lo requiere cuando corresponde — en inspecciones, requerimientos de información, denuncias de titulares o auditorías del Plan Anual. La obligación es mantenerlo disponible y actualizado.

¿Qué diferencia hay entre RAT y Registro Nacional de Protección de Datos (RNPD)?

Son figuras distintas. El RAT es interno — su empresa lo lleva y la SPDP lo requiere cuando corresponde. El RNPD es un registro público administrado por la SPDP (creado por el Art. 51 de la LOPDP) donde se inscriben, por ejemplo, los DPDs. Son dos mundos separados.

¿Cuánto tiempo toma armar el RAT inicial?

Para una empresa mediana (50-200 empleados), entre 3 y 6 semanas. La parte lenta es levantar información con cada área, no llenar la plantilla. Empresas que ya tienen procesos documentados van más rápido.

Conclusión

El RAT no es un entregable para una consultora: es gobierno interno de datos. Armar uno bien es el primer paso hacia responsabilidad demostrada, y el más efectivo para pasar de "no sabemos qué tenemos" a "podemos probar qué tratamos y cómo".

Si quiere ver cómo StatusEC se integra como evidencia técnica en su fila de RAT para verificación de antecedentes, agende una demo. Si prefiere diagnosticar antes, el checklist LOPDP tiene una sección específica sobre RAT.

Nota legal: este artículo es informativo y no constituye asesoría legal. Las decisiones sobre cumplimiento LOPDP deben tomarse con el acompañamiento de un profesional del derecho que revise la situación específica de su organización. La normativa en Ecuador está sujeta a actualizaciones por parte de la SPDP y de la Asamblea Nacional; confirme siempre la versión vigente de las resoluciones citadas antes de tomar acciones.
SE
Equipo StatusEC

Ingeniería, legal y operaciones de StatusEC. Cada artículo sobre LOPDP es revisado por abogado especializado en protección de datos antes de publicar. ¿Dudas o correcciones? Escríbanos a info@statusec.com.

Lectura relacionada

Continúe explorando

Cumplimiento LOPDP

Guía completa LOPDP 2026

El artículo pilar con obligaciones, plazos y el marco completo.

 Cumplimiento LOPDP

Primeras multas SPDP: LIGAPRO y FEF

Qué fallaron y por qué el RAT fue uno de los hallazgos.

 Cumplimiento LOPDP

DPD: cuándo es obligatorio y cómo designarlo

El DPD es quien mantiene el RAT vivo en muchas organizaciones.

¿Necesita un RAT operativo con trazabilidad para su actividad de verificación?

StatusEC genera automáticamente registros auditables de consentimiento, fuentes consultadas y resultados emitidos — listos para citar como evidencia en las columnas de medidas técnicas y organizativas del RAT.

Solicitar demo de 15 min
¿Duda LOPDP?