Si usted, estimado lector, no se dedica profesionalmente a asesorar a organizaciones en la implementación de estándares de protección de datos, le sugiero detener aquí la lectura y emplear su tiempo en asuntos más gratificantes. Esta columna, a diferencia de otras que suelo escribir, es deliberadamente técnica… y, al mismo tiempo, un pequeño divertimento nacido de mi profunda aversión a las planillas Excel.
Antes de continuar, conviene aclarar qué es exactamente este RAT del que hablamos. No es un roedor, sino que el acrónimo de Registro de Actividades de Tratamiento (RAT), que es el documento que toda organización debería mantener para mapear, con rigor y detalle, cada operación que realiza con datos personales. ¿Recoges correos electrónicos de tus clientes? RAT. ¿Procesas nóminas de empleados? RAT. ¿Almacenas historiales médicos? Definitivamente, RAT.
Todos hemos pecado con Excel, pues satisface la tentación irresistible de creer que, si algo cabe en filas y columnas, ya está «organizado». Listas de compras, presupuestos domésticos, gastos en amantes (tuve un tragicómico caso sobre eso) e incluso —y aquí viene el problema— el Registro de Actividad de Tratamiento (RAT) que exigen los estándares internacionales en la materia. Pero resulta que documentar cómo tu organización gestiona datos personales no es exactamente lo mismo que calcular cuánto gastas cada mes.
Un modelo de prevención de infracciones pide algo mucho más ambicioso que una simple enumeración: exige detallar responsables, fines del tratamiento, legitimación para tratar datos, categorías de datos tratados, transferencias internacionales, plazos de conservación y medidas de seguridad. No es un inventario; es una radiografía completa de tu ecosistema de datos. Y pretender que eso quepa cómodamente en una hoja de cálculo es como intentar escribir Cien años de soledad en notas adhesivas: se puede, pero es una forma atroz de leer la obra.
La ilusión de la simplicidad
La hoja de cálculo nos seduce con su promesa de orden. Todo parece estar ahí: filas impecables, columnas bien alineadas, pestañas de colores que transmiten una reconfortante sensación de control. Sin embargo, esa tranquilidad es profundamente engañosa. No solo porque Excel no es la herramienta idónea para gestionar un Registro de Actividades de Tratamiento (RAT), sino porque, sencillamente, no fue concebido para ese fin. Excel nació para calcular, ordenar y analizar datos numéricos estructurados, no para gobernar procesos jurídicos y organizacionales complejos.
Basta detenerse un momento en lo que realmente exige un RAT bien hecho: control riguroso de versiones, trazabilidad de modificaciones, identificación clara de quién cambió qué y cuándo, flujos de validación, integración de metadatos heterogéneos y, por supuesto, evaluación de riesgos. Frente a todo eso, Excel ofrece —con toda honestidad— formato condicional, colores de celda y la posibilidad de ordenar alfabéticamente.
Funciona, sí, en el mismo sentido en que los lados de un alicate pueden servir para clavar un clavo: no es imposible, pero resulta difícil sostener que sea una buena idea.
El RAT no es una lista: es un documento vivo
Aquí se encuentra el malentendido de fondo. El RAT no existe para que alguien marque casillas frente a un auditoría ni para cumplir con un ritual administrativo.
Su razón de ser es mucho más exigente: operacionalizar el principio de responsabilidad proactiva. No basta con tener un registro; lo relevante es contar con un instrumento que permita evaluar riesgos, adoptar decisiones informadas, demostrar cumplimiento y, en última instancia, proteger efectivamente los datos personales.
Un documento bien estructurado permite contextualizar, explicar, justificar. Una tabla, en cambio, obliga a comprimir la realidad hasta rozar el absurdo. ¿Cómo se describen en una celda las medidas técnicas y organizativas aplicables a datos sensibles? ¿Con un “sí” o un “no”? ¿Con una enumeración telegráfica que nadie —ni siquiera su autor— entenderá dentro de seis meses?
El RAT debe facilitar la comprensión, la auditoría interna y la revisión continua. Debe ser una herramienta de gobierno de datos, no una tarea aplazada que reaparece, puntualmente, cada vez que alguien anuncia una fiscalización.
Cuando la complejidad te alcanza
Seamos razonables. Si dirige una pequeña panadería y únicamente recoge nombres y teléfonos para coordinar entregas a domicilio, quizá —solo quizá— una hoja de Excel pueda ser suficiente. Pero en cuanto una organización gestiona múltiples actividades de tratamiento, maneja datos de salud, realiza transferencias internacionales o trata categorías especiales de datos, la tabla se transforma con rapidez en un laberinto de celdas fusionadas, notas al margen y referencias cruzadas que nadie recuerda haber creado.
Y entonces aparece la pregunta incómoda, casi siempre demasiado tarde: ¿quién modificó esta celda hace tres meses? ¿Por qué desapareció aquella fila? ¿Cuál es, exactamente, la versión vigente del documento? Excel responde con su habitual silencio, imperturbable, guardando celosamente sus secretos.
No hay trazabilidad real, no hay una auditoría mínimamente confiable y, desde luego, no hay tranquilidad. Solo una ilusión de control que se desvanece en cuanto alguien hace la primera pregunta incómoda.
La herramienta importa menos que la intención
Bueno, tampoco hay que llevar tan allá mi fundamentalismo anti-Excel. Al fin y al cabo, la normativa de protección de datos no impone formatos específicos ni tampoco proscribe una herramienta determinada; lo que exige son mecanismos eficaces que permitan mantener registro y control sobre las operaciones de tratamiento de datos personales.
Desde esa perspectiva, la herramienta es secundaria frente a la calidad del contenido y a la seriedad del compromiso organizacional. Una entidad pequeña, con recursos limitados y actividades de tratamiento simples, puede comenzar razonablemente con una hoja de Excel y cumplir —siempre que el registro sea completo, preciso y se mantenga actualizado—.
El matiz decisivo está aquí: Excel puede ser un punto de partida, pero nunca un destino. Es el andamio, no el edificio. Confundir uno con otro es un error que, antes o después, se paga en forma de incumplimientos, sanciones o, quizá lo más costoso de todo, en la pérdida de confianza de quienes confiaron sus datos, y el daño reputacional a la empresa u organización.
La dignidad del dato (y del documento)
En el fondo, esto no trata de software. Trata de reconocer que la protección de datos personales exige instrumentos a su altura. El RAT no es burocracia; es gobernanza. No es una carga administrativa; es una expresión concreta de transparencia, responsabilidad y control. Y los compromisos serios no se sostienen con soluciones improvisadas.
La próxima vez que aparezca la tentación de abrir Excel para “resolver rápido” el RAT, conviene detenerse un instante. Preguntarse si de verdad se quiere que el mapa completo de la gestión de datos personales de una organización quede reducido a una hoja de cálculo. Preguntarse si ese formato refleja el respeto debido a los datos de las personas que han decidido confiar.
Porque, en última instancia, el mensaje es simple y no admite atajos: el RAT no es una tabla. Es un documento. Es una declaración de principios. Es un compromiso operativo con los derechos fundamentales.
Y como todo compromiso serio, merece ser tratado con la dignidad que le corresponde, lo que incluye proteger la calidad de nuestros propios instrumentos de cumplimiento.