Los 10 errores más comunes de cumplimiento con la Ley 21.719 y cómo evitar cada uno
Chile tiene hasta el 1 de diciembre de 2026 para que la Ley 21.719 entre en plena vigencia y la nueva Agencia de Protección de Datos Personales (APDP) comience a operar con facultades sancionatorias. Este plazo, que puede parecer amplio, es en realidad el período más crítico para las organizaciones: el momento de construir la estructura de cumplimiento antes de que lleguen las primeras fiscalizaciones.
La experiencia comparada es reveladora. En Brasil, donde la Ley General de Protección de Datos (LGPD) rige desde 2020, la autoridad regulatoria (ANPD) documentó patrones claros en sus primeros procesos sancionatorios: los mismos errores se repiten, en organizaciones de distintos sectores y tamaños. Chile puede aprender de esa experiencia y evitar cometer los mismos errores.
Este artículo analiza los 10 errores más frecuentes de cumplimiento con la Ley 21.719, los principios que los respaldan y cómo evitar cada uno.
Por qué la experiencia internacional importa para Chile
Antes de listar los errores, es importante entender por qué la experiencia brasileña y europea es directamente aplicable al contexto chileno:
Lo que la ANPD (Brasil) documentó en sus primeros casos sancionatorios (2022–2024):
| Error | Frecuencia |
|---|---|
| Delegado/Encargado ausente o sin información pública | 100% de los casos |
| Tratamiento sin base legal documentada | Alta frecuencia |
| No comunicación de incidentes de seguridad | 78% de los casos |
| Medidas técnicas de seguridad insuficientes | Alta frecuencia |
| RAT (registro de actividades) ausente o desactualizado | Alta frecuencia |
| Evaluación de impacto no elaborada para actividades de alto riesgo | Alta frecuencia |
| Canal de atención al titular ineficaz | Motivó acción masiva contra 20 empresas en 2024 |
La Ley 21.719 tiene una estructura similar a la LGPD brasileña y al RGPD europeo. Los errores que las organizaciones cometen son estructuralmente los mismos, independientemente del país. Chile tiene la ventaja de poder prepararse observando la experiencia de quienes enfrentaron estas exigencias antes.
Los 10 errores más frecuentes
Error #1 — Delegado de Protección de Datos ausente o sin información pública
Frecuencia: El error más común, identificado sistemáticamente en jurisdicciones con legislación comparable.
Qué establece la Ley 21.719:
El artículo 13 de la Ley 21.719 exige la designación de un Delegado de Protección de Datos (DPD) para:
- Todos los organismos del sector público
- Empresas privadas cuya actividad principal implique tratamiento masivo de datos sensibles o monitoreo sistemático de titulares
El DPD debe tener independencia funcional, conocimientos especializados en protección de datos y acceso directo a la alta dirección.
Cómo evitar:
- Determinar si su organización está obligada a designar DPD (sector público, tratamiento masivo de datos sensibles, monitoreo sistemático)
- Si no está obligada, evaluar si la designación voluntaria es conveniente como señal de buenas prácticas
- Formalizar la designación mediante acto escrito con poderes y funciones claramente definidos
- Publicar el nombre o identificación y correo electrónico funcional en el sitio web, en lugar visible
- Garantizar que el DPD no tenga conflictos de interés con otras funciones que desempeñe
Error #2 — Tratamiento de datos sin base legal documentada
Frecuencia: Error central en la mayoría de los procesos sancionatorios documentados internacionalmente.
Qué establece la Ley 21.719:
La Ley 21.719 exige que todo tratamiento de datos personales tenga un fundamento legal válido. Las bases de tratamiento incluyen, entre otras:
- Consentimiento libre, informado, específico e inequívoco del titular
- Ejecución de un contrato del que el titular es parte
- Cumplimiento de una obligación legal
- Protección de intereses vitales del titular
- Ejercicio de una función de interés público o ejercicio de potestades públicas
- Interés legítimo del responsable o de terceros (con limitaciones para datos sensibles)
Cómo evitar:
- Para cada actividad de tratamiento en el Registro de Actividades (RAT), documentar expresamente la base legal utilizada
- Verificar que la base legal elegida sea adecuada a la finalidad del tratamiento
- Documentar el análisis jurídico que llevó a elegir esa base legal
- Revisar la base legal cuando cambie la finalidad del tratamiento
- Atención especial a datos sensibles: las bases legales son más restrictivas y exigen consentimiento expreso, explícito, previo e informado salvo excepciones tasadas
Error #3 — No comunicación o retraso en la comunicación de incidentes
Frecuencia: Infracción más frecuentemente sancionada en las jurisdicciones con experiencia regulatoria comparable.
Qué establece la Ley 21.719:
El artículo 14 sexies establece la obligación de notificar incidentes de seguridad que representen riesgo razonable para los derechos y libertades de los titulares:
- A la APDP: sin demora indebida y dentro de las 72 horas siguientes al conocimiento del incidente
- A los titulares afectados: sin demora indebida cuando el incidente involucre datos sensibles, datos de menores de 14 años, o datos económicos, financieros o bancarios
Cómo evitar:
- Elaborar un plan de respuesta a incidentes antes de que ocurra — no improvisar durante la crisis
- Capacitar al equipo de TI para reportar al DPD de inmediato al identificar cualquier sospecha de incidente
- Si no se dispone de toda la información en 72 horas, enviar comunicación preliminar a la APDP y complementarla posteriormente
- Comunicar a los titulares afectados simultáneamente a la comunicación a la APDP cuando corresponda
- Registrar todos los incidentes, incluso los que no requirieron notificación, por al menos 5 años
Error #4 — Medidas técnicas de seguridad insuficientes
Frecuencia: Identificada en múltiples casos, especialmente en incidentes con datos de salud y datos financieros.
Qué establece la Ley 21.719:
El artículo 14 quinquies exige la implementación de medidas técnicas y organizativas apropiadas para proteger los datos personales, incluyendo cifrado, confidencialidad, integridad, disponibilidad y capacidad de restauración ante incidentes.
Cómo evitar:
- Autenticación en todos los sistemas con datos personales — especialmente APIs: ninguna API expuesta al público sin autenticación
- Autenticación multifactor para sistemas con datos sensibles (salud, financiero, biométrico)
- Control de acceso por principio de mínimo privilegio: cada usuario accede solo a lo que necesita para su función
- Cifrado en tránsito (TLS 1.2+) y en reposo para datos sensibles
- Revisión periódica de permisos de acceso (al menos anual o cuando un colaborador cambia de función)
- Pentest al menos anual para sistemas que tratan datos sensibles a gran escala
Error #5 — RAT (Registro de Actividades de Tratamiento) ausente o desactualizado
Frecuencia: Primer documento solicitado por cualquier autoridad regulatoria en una fiscalización. Su ausencia es señal inmediata de incumplimiento.
Qué establece la Ley 21.719:
La Ley 21.719 exige que los responsables de datos mantengan un Registro de Actividades de Tratamiento (RAT) actualizado. Este registro debe estar disponible para la APDP y reflejar en todo momento las actividades reales de tratamiento.
Contenido mínimo del RAT:
- Nombre y datos de contacto del responsable y del DPD
- Finalidades específicas y legítimas del tratamiento
- Descripción de las categorías de titulares y de datos personales
- Identificación de los encargados (proveedores que tratan datos en nombre del responsable)
- Plazos de retención y criterios para determinarlos
- Medidas de seguridad técnicas y organizativas aplicadas
- Transferencias internacionales de datos, cuando corresponda
Cómo evitar:
- Crear el RAT para todas las actividades de tratamiento — no solo las más obvias
- Revisar el RAT al menos anualmente — o siempre que se inicie una nueva actividad de tratamiento
- Integrar el RAT al proceso de aprobación de nuevos sistemas y procesos: ningún sistema nuevo entra en operación sin estar en el RAT
Error #6 — EIPD no elaborada para actividades de alto riesgo
Frecuencia: Identificada en múltiples casos internacionales. En Brasil, la negativa a elaborar la evaluación de impacto fue tratada como infracción autónoma.
Qué establece la Ley 21.719:
El artículo 15 ter exige la elaboración de una Evaluación de Impacto en la Protección de Datos (EIPD) cuando el tratamiento pueda generar un alto riesgo para los derechos y libertades de los titulares, incluyendo:
- Evaluación sistemática y exhaustiva basada en tratamiento automatizado o perfilamiento
- Tratamiento masivo o a gran escala de datos personales
- Monitoreo sistemático de espacios de acceso público
- Tratamiento de datos sensibles con dispensa de consentimiento
Cómo evitar:
- Elaborar EIPD proactivamente para tratamientos que involucren:
- Datos sensibles (salud, biometría, origen étnico, religión, etc.)
- Datos de menores de 14 años
- Decisiones automatizadas con efectos jurídicos significativos
- Tratamiento a gran escala
- Monitoreo sistemático de titulares (geolocalización, comportamiento online)
- La EIPD debe describir el tratamiento, evaluar riesgos e incluir las medidas adoptadas para mitigarlos
- Si la EIPD identifica riesgos altos que no pueden mitigarse adecuadamente, se debe consultar previamente a la APDP antes de iniciar el tratamiento
Error #7 — Canal de atención al titular ineficaz o inaccesible
Frecuencia: En Brasil, la falta de canal efectivo fue causa de una acción simultánea contra 20 grandes empresas en diciembre de 2024.
Qué establece la Ley 21.719:
Los titulares tienen derechos que ejercer (acceso, rectificación, supresión, oposición, bloqueo, portabilidad). El responsable de datos debe disponer de un canal efectivo y accesible para recibir y tramitar estas solicitudes.
Cómo evitar:
- Publicar correo o formulario específico para solicitudes de titulares — separado del soporte general al cliente
- Probar periódicamente: enviar una solicitud como titular y verificar si hay respuesta en el plazo adecuado
- Definir responsable interno para recibir y gestionar las solicitudes — el DPD debe ser notificado
- Establecer plazos internos de respuesta (referencia: 15 días hábiles como buena práctica, sujeto a regulación de la APDP)
- Documentar todas las solicitudes recibidas y las respuestas proporcionadas
Error #8 — Consentimiento como única base legal para todo tratamiento
Frecuencia: Patrón de error recurrente en organizaciones que tratan todo el cumplimiento como "obtener consentimiento" sin analizar alternativas más adecuadas.
Qué revela la práctica regulatoria:
El consentimiento es solo una de las bases legales previstas en la Ley 21.719 — y frecuentemente no es la más adecuada ni la más robusta. Problemas con el uso indebido del consentimiento:
- Consentimiento para cumplimiento de obligación legal (liquidación de sueldos, boleta) es innecesario y crea expectativa errada en el titular
- Consentimiento para ejecución de contrato es inadecuado — la base correcta es el propio contrato
- Consentimiento revocable para tratamientos esenciales al negocio crea riesgo operacional
- Consentimiento de menores de 14 años sin consentimiento parental es nulo bajo la Ley 21.719
Cómo evitar:
- Mapear la base legal más adecuada para cada actividad en el RAT, comenzando por las hipótesis que no requieren consentimiento (obligación legal, contrato, interés legítimo, etc.)
- Usar consentimiento solo cuando sea genuinamente la base más adecuada — generalmente para marketing, investigaciones voluntarias, tratamientos no esenciales al contrato
- Cuando se use consentimiento, garantizar que sea: libre (sin coacción), informado (con finalidad clara), específico e inequívoco (acción afirmativa) y revocable en cualquier momento
- Documentar el análisis que llevó a elegir la base legal — no solo la conclusión
Error #9 — Ausencia de programa de capacitación documentado
Frecuencia: Patrón consistente de ausencia en prácticamente todos los casos analizados internacionalmente. El error humano es sistemáticamente el principal vector de incidentes de seguridad.
Lo que revela la práctica regulatoria:
La Ley 21.719 exige que el responsable adopte medidas "apropiadas" para proteger los datos personales (Art. 14 quinquies) — y el error humano es el mayor vector de incidentes. En múltiples casos sancionatorios internacionales, la causa raíz fue un colaborador que configuró incorrectamente un sistema sin el entrenamiento adecuado para reconocer el riesgo.
Cómo evitar:
- Capacitación básica para todos los colaboradores que traten datos personales — no solo para TI o jurídico
- Capacitaciones específicas por función: marketing (bases legales, cookies), RRHH (datos de empleados), TI (seguridad técnica), atención al cliente (derechos de los titulares)
- Documentar todas las capacitaciones: fecha, contenido, participantes, registros de asistencia — esa documentación es evidencia de buenas prácticas
- Periodicidad mínima: anual para todos los colaboradores; inmediatamente para nuevos ingresos
- Actualización cuando haya cambios regulatorios relevantes (nueva resolución de la APDP) o tras incidentes
Error #10 — Proveedores sin contrato de tratamiento (DPA)
Frecuencia: Ausencia generalizada. La APDP tendrá facultades para investigar toda la cadena de tratamiento, no solo al responsable principal.
Qué establece la Ley 21.719:
La Ley 21.719 exige que cuando el responsable encarga a un tercero (encargado) el tratamiento de datos personales, esta relación quede regulada mediante instrucciones documentadas. Sin contrato adecuado:
- El responsable no puede probar que entregó instrucciones claras al encargado
- En caso de incidente causado por el encargado, el responsable puede responder solidariamente
- El responsable no tiene base para auditar o exigir medidas de seguridad al proveedor
Cómo evitar:
- Mapear todos los proveedores que acceden a datos personales en nombre de la organización
- Suscribir contrato antes de iniciar cualquier transferencia de datos — ningún dato personal a un proveedor sin contrato adecuado
- El contrato debe incluir: alcance del tratamiento autorizado, medidas de seguridad exigidas, plazo de retención, destino de los datos al término del contrato, obligaciones de notificación de incidentes, derecho de auditoría
- Revisar contratos anualmente o cuando cambie el alcance del tratamiento
- Para proveedores críticos (datos sensibles, gran escala): exigir evidencias de cumplimiento (ISO 27001, SOC 2, informes de auditoría)
El costo real de estos errores
Financiero
La Ley 21.719 establece un sistema de sanciones en tres niveles:
| Infracción | Sanción |
|---|---|
| Leve | Hasta 5.000 UTM (~CLP 330 millones) |
| Grave | Hasta 10.000 UTM (~CLP 660 millones) o 2% de los ingresos anuales (para reincidentes) |
| Gravísima | Hasta 20.000 UTM (~CLP 1.320 millones) o 4% de los ingresos anuales (para reincidentes) |
Las circunstancias atenuantes muestran lo que está en juego:
| Situación | Efecto |
|---|---|
| Medidas correctivas espontáneas | Reducción significativa |
| Designación voluntaria de DPD | Atenuante |
| Cooperación activa con la APDP | Atenuante |
| Primera infracción | Atenuante |
Reputacional
La APDP tendrá facultad para emitir amonestaciones públicas ante infracciones sistemáticas o generalizadas — un impacto frecuentemente más costoso que la multa para empresas B2C con marcas reconocidas.
Operacional
Las medidas correctivas que puede ordenar la APDP — como suspensión del tratamiento, eliminación de datos o programas de remediación — generan costos operacionales significativos que podrían haberse evitado con prevención.
Cómo usar este ranking
Este ranking no es una lista de problemas ajenos — es un espejo. Para cada error identificado:
- Evalúe su organización: ¿Tiene este error?
- Evalúe la urgencia: ¿Cuál es el riesgo real dado su sector y volumen de datos?
- Implemente la corrección: Las medidas "cómo evitar" son la respuesta práctica
- Documente: La evidencia de la corrección es tan importante como la corrección misma
Lista de verificación rápida de prioridades
- ¿Delegado de Protección de Datos designado formalmente y publicado en el sitio web con correo funcional?
- ¿Base legal documentada para cada actividad en el RAT?
- ¿Plan de respuesta a incidentes elaborado y probado?
- ¿Medidas técnicas de seguridad adecuadas al riesgo de los datos tratados?
- ¿RAT completo, actualizado y revisado en los últimos 12 meses?
- ¿EIPDs elaboradas para todos los tratamientos de alto riesgo?
- ¿Canal de atención al titular probado y funcionando efectivamente?
- ¿La base legal no es solo "consentimiento" para todos los tratamientos?
- ¿Capacitaciones realizadas y documentadas para todos los colaboradores?
- ¿Todos los proveedores que acceden a datos personales tienen contrato de tratamiento suscrito?
Conclusión
Los 10 errores listados en este artículo no son teoría — son los patrones que las autoridades regulatorias han encontrado en la práctica, documentados en procesos sancionatorios públicos en Brasil, Europa y otras jurisdicciones con legislación equivalente a la Ley 21.719.
El patrón es consistente: los mismos errores se repiten, en organizaciones distintas, a un costo creciente conforme la autoridad regulatoria expande su capacidad de fiscalización. Con la APDP comenzando a operar en diciembre de 2026, Chile está a tiempo de actuar preventivamente.
La buena noticia es que todos los 10 errores tienen solución conocida. La diferencia entre las organizaciones que responden a fiscalizaciones con documentación lista y las que entran en crisis es precisamente la decisión de abordar estas cuestiones ahora — antes de que llegue la primera notificación.
Confidata centraliza la documentación necesaria para corregir los 10 errores: RAT, EIPD, gestión de incidentes, canal de atención al titular, contratos con proveedores y programa de gobernanza — todo trazable y listo para presentar ante la APDP. Conozca cómo podemos apoyar el cumplimiento de su organización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.