Cumplimiento12 min de lectura

15 indicadores de madurez en protección de datos que todo DPD debería monitorear

Equipo Confidata·
Compartir

"Lo que no se mide, no se gestiona." La frase de Deming es tan válida para la calidad industrial como para el cumplimiento con la Ley 21.719. Un programa de privacidad sin indicadores es un programa que no sabe si avanza, está estancado o retrocede — y que no tiene cómo demostrar a la alta dirección, a la APDP o a socios comerciales que funciona en la práctica.

Esta guía presenta los 15 indicadores de madurez más relevantes para programas de protección de datos bajo la Ley 21.719, organizados en cuatro categorías, con referencias al marco regulatorio chileno y a las prácticas internacionales consolidadas.

Los niveles de madurez: ¿dónde está su organización?

Antes de medir indicadores aislados, es útil entender en qué nivel de madurez se encuentra la organización. El modelo más consolidado — basado en el CMM (Capability Maturity Model), adaptado para protección de datos — usa cinco niveles:

NivelNombreCaracterísticas
1InicialAcciones eventuales, no programadas. El cumplimiento depende de esfuerzos individuales. Ningún proceso formal.
2RepetiblePrácticas operacionales básicas implementadas. Cumplimiento posible, pero inconsistente.
3DefinidoPolíticas, normas y procesos formalizados. RAT, políticas de privacidad y EIPD existen y son seguidos.
4GestionadoKPIs e indicadores monitoreados. Decisiones basadas en datos. Auditorías internas regulares.
5OptimizadoMejora continua basada en evidencias. Privacidad desde el diseño incorporada. Cultura organizacional consolidada.

Dato de referencia internacional: La experiencia en Brasil y Europa muestra que la mayoría de las organizaciones se encuentran en los niveles 1 y 2 al inicio de la implementación de una nueva ley de protección de datos. Con la Ley 21.719 en plena vigencia desde el 1 de diciembre de 2026, Chile tiene la oportunidad de prepararse antes de las primeras fiscalizaciones de la APDP.

Llegar al nivel 4 — gestionado — requiere precisamente la implementación de los indicadores presentados en esta guía.

Por qué medir la madurez: la lógica regulatoria

La Ley 21.719 exige que las organizaciones adopten medidas "apropiadas" para proteger los datos personales y que puedan demostrar ese cumplimiento (principio de responsabilidad activa). Sin métricas, ese monitoreo continuo es imposible.

Además, las circunstancias atenuantes que la Ley 21.719 prevé en la determinación de sanciones incluyen la cooperación activa con la APDP y las medidas correctivas adoptadas espontáneamente. Los indicadores documentados y monitoreados son la evidencia más clara de esa "adopción reiterada" de buenas prácticas.

Los 15 indicadores — organizados por categoría

Categoría A: Indicadores de Gobernanza (5 indicadores)

Miden la estructura y la documentación del programa de protección de datos.

Indicador 1 — Cobertura del RAT

Qué mide: Porcentaje de actividades de tratamiento de datos personales mapeadas y con base legal documentada, sobre el total estimado de actividades existentes en la organización.

Cómo medir: (Actividades en el RAT con base legal registrada ÷ Total de actividades de tratamiento identificadas) × 100

Meta: 100% — no existe cumplimiento aceptable con RAT incompleto.

Base legal: Ley 21.719 — obligación de mantener registro de actividades de tratamiento actualizado y disponible para la APDP.

Indicador 2 — Actualización del RAT

Qué mide: Fecha de la última revisión completa del inventario de datos personales.

Cómo medir: Fecha de la última revisión versus política interna de revisión (recomendado: revisión completa anual; revisión puntual siempre que se inicie un nuevo tratamiento o haya un cambio relevante).

Meta: Revisión completa hace no más de 12 meses; revisiones puntuales documentadas siempre que se hayan iniciado nuevos tratamientos.

Relevancia práctica: RAT desactualizado es, para la APDP, casi tan problemático como RAT inexistente — no refleja la realidad del tratamiento.

Indicador 3 — Cobertura de contratos con encargados

Qué mide: Porcentaje de proveedores que tratan datos personales en nombre de la organización que cuentan con contrato de tratamiento suscrito y vigente.

Cómo medir: (Proveedores con contrato vigente ÷ Total de proveedores con acceso a datos personales) × 100

Meta: 100% para proveedores de alto riesgo (datos sensibles, datos a gran escala); mínimo 80% para riesgo medio y bajo.

Base legal: Ley 21.719 — el responsable es solidariamente responsable por las infracciones de los encargados cuando no ha cumplido sus obligaciones de supervisión e instrucción.

Indicador 4 — Cobertura de EIPDs para actividades de alto riesgo

Qué mide: Porcentaje de actividades de tratamiento clasificadas como "alto riesgo" que cuentan con Evaluación de Impacto en la Protección de Datos (EIPD) elaborada.

Cómo medir: (Actividades de alto riesgo con EIPD ÷ Total de actividades de alto riesgo identificadas) × 100

Meta: 100% para actividades con datos sensibles, datos de menores, decisiones automatizadas o tecnologías emergentes.

Base legal: Art. 15 ter de la Ley 21.719.

Indicador 5 — Incumplimientos abiertos

Qué mide: Número de no conformidades identificadas en auditorías internas o externas que aún no han sido resueltas, segmentadas por criticidad (alta, media, baja).

Cómo medir: Conteo directo de ítems abiertos en el plan de acción de auditoría, con plazo original de resolución.

Meta: Cero pendientes de alta criticidad; máximo 5 de media criticidad; plazo promedio de resolución menor a 30 días para alta y menor a 90 días para media.

Relevancia práctica: Este indicador revela si el programa de cumplimiento es funcional o meramente documental.

Categoría B: Indicadores Operacionales (5 indicadores)

Miden el funcionamiento diario del programa de protección de datos.

Indicador 6 — Tasa de atención a titulares dentro del plazo

Qué mide: Porcentaje de solicitudes de titulares (acceso, rectificación, supresión, oposición, bloqueo, portabilidad) respondidas dentro del plazo establecido.

Cómo medir: (Solicitudes respondidas en el plazo ÷ Total de solicitudes recibidas) × 100

Meta: 100%

Base legal: La Ley 21.719 garantiza derechos a los titulares (Arts. 5-9) y exige al responsable contar con un canal efectivo de atención. La APDP establecerá los plazos específicos mediante regulación; como referencia internacional, 15 días hábiles es el estándar habitualmente utilizado.

Indicador 7 — Volumen de solicitudes de titulares por tipo

Qué mide: Distribución de las solicitudes recibidas por tipo de derecho ejercido (acceso, rectificación, supresión, oposición, bloqueo, portabilidad).

Cómo medir: Clasificación y conteo por categoría en cada ciclo (mensual o trimestral).

Para qué sirve: Peaks en determinados tipos de solicitud indican problemas específicos — un peak en "supresión" puede indicar que los titulares están frustrados con la imposibilidad de salir de listas de marketing; un peak en "acceso" puede indicar desconfianza sobre el uso de los datos.

Meta: No hay meta de volumen — el objetivo es la tendencia. Volumen creciente sin crecimiento proporcional de la operación puede indicar un problema sistémico.

Indicador 8 — Número de incidentes de seguridad por trimestre

Qué mide: Total de incidentes de seguridad que involucraron datos personales, independientemente de si fueron comunicados a la APDP.

Cómo medir: Conteo de incidentes registrados en el sistema de gestión de incidentes.

Meta: Reducción trimestre a trimestre. Cero incidentes es improbable; cero incidentes no registrados es la meta real.

Subcategoría importante: Separar incidentes por causa (error humano, falla técnica, ataque externo) — cada causa tiene respuesta diferente.

Indicador 9 — Tiempo de notificación a la APDP (cuando corresponda)

Qué mide: Tiempo transcurrido entre el conocimiento del incidente y el envío de la comunicación a la APDP, en los casos que requieren notificación (Art. 14 sexies de la Ley 21.719).

Meta: Dentro de 72 horas (estándar esperado). Para organizaciones grandes, meta interna de 48 horas para comunicación preliminar.

Relevancia sancionatoria: En jurisdicciones comparables, el retraso en la notificación fue infracción en la mayoría de los casos sancionados. La demora puede transformar una infracción grave en gravísima.

Indicador 10 — Plazo promedio de resolución de incidentes

Qué mide: Tiempo promedio entre la detección de un incidente y su resolución completa (contención + remediación + documentación).

Cómo medir: Promedio del tiempo de resolución de todos los incidentes en el período.

Meta: Varía por tipo y gravedad. Incidentes críticos: resolución en menos de 72 horas; medios: menos de 7 días; bajos: menos de 30 días.

Para qué sirve: Identifica cuellos de botella en el proceso de respuesta y mide la eficacia de las mejoras implementadas tras incidentes anteriores.

Categoría C: Indicadores Técnicos (2 indicadores)

Miden la implementación de controles de seguridad para protección de datos personales.

Indicador 11 — Cobertura de controles de seguridad en sistemas con datos personales

Qué mide: Porcentaje de sistemas que procesan datos personales que cuentan con los controles mínimos implementados: cifrado en reposo y en tránsito, control de acceso basado en función (RBAC), registro de auditoría y respaldo probado.

Cómo medir: Inventario de sistemas cruzado con checklist de controles por sistema. (Sistemas con todos los controles ÷ Total de sistemas con datos personales) × 100

Meta: 100% para sistemas con datos sensibles; 90%+ para demás sistemas.

Base legal: Art. 14 quinquies de la Ley 21.719 — medidas técnicas y organizativas apropiadas para proteger datos.

Indicador 12 — Porcentaje de nuevos proyectos con revisión de privacidad previa

Qué mide: Porcentaje de nuevos productos, sistemas o procesos que pasaron por una evaluación de privacidad (Privacidad desde el Diseño) antes de ser lanzados o implantados.

Cómo medir: (Nuevos proyectos con revisión de privacidad antes del lanzamiento ÷ Total de nuevos proyectos lanzados) × 100

Meta: 100% para proyectos que involucren tratamiento de datos personales.

Referencia: La Ley 21.719 incorpora el principio de privacidad desde el diseño y por defecto como obligación del responsable.

Categoría D: Indicadores de Cultura (3 indicadores)

Miden si la privacidad está siendo internalizada por las personas y no solo documentada en los sistemas.

Indicador 13 — Tasa de finalización de capacitaciones en protección de datos

Qué mide: Porcentaje de colaboradores que completaron todas las capacitaciones obligatorias en protección de datos dentro del plazo.

Cómo medir: (Colaboradores con capacitaciones completadas ÷ Total de colaboradores elegibles) × 100

Meta: 95%+ (considerando ausencias temporales y nuevos ingresos en inducción).

Base legal: La Ley 21.719 exige que el DPD supervise el cumplimiento y oriente a los colaboradores; las capacitaciones son parte del programa de gobernanza de protección de datos.

Indicador 14 — Tasa de clics en simulaciones de phishing

Qué mide: Porcentaje de colaboradores que hicieron clic en correos de phishing simulado en las campañas periódicas.

Cómo medir: (Colaboradores que hicieron clic en el correo simulado ÷ Total de colaboradores en la simulación) × 100

Meta: Reducción continua. Tasa inicial típica en el mercado: 20-30%. Meta a mediano plazo: por debajo del 5%.

Por qué importa: El 80% de las filtraciones de datos involucran error humano (Verizon DBIR 2024). El phishing es el vector más común. Organizaciones con programa de simulación reducen los clics hasta en un 50% en 12 meses.

Indicador 15 — Índice de reporte interno de incidentes

Qué mide: Número de incidentes y sospechas de incidentes reportados por los colaboradores al canal interno (en relación al total de incidentes identificados por cualquier medio).

Cómo medir: (Incidentes identificados por reporte de colaboradores ÷ Total de incidentes identificados) × 100

Meta: Aumento continuo. Un índice alto indica que los colaboradores conocen el canal, sienten que pueden reportar sin temor y entienden qué constituye un incidente.

Interpretación correcta: El aumento en el reporte interno es señal positiva de cultura — no de más problemas. Las organizaciones maduras tienen más incidentes reportados internamente porque construyen entornos de seguridad psicológica para reportar.

Cómo estructurar el dashboard de cumplimiento del DPD

Un dashboard efectivo tiene tres capas:

Capa ejecutiva (para la alta dirección — mensual/trimestral):

  • Índice general de madurez (score 1-5 o 0-100)
  • Estado de cumplimiento por categoría (gobernanza, operacional, técnico, cultura)
  • Alertas críticas activas
  • Evolución versus período anterior

Capa operacional (para el DPD — semanal):

  • SLA de atención a titulares (% en el plazo)
  • Incidentes: abiertos / en análisis / resueltos
  • Capacitaciones: cobertura por departamento
  • Pendientes de cumplimiento por criticidad

Capa de gobernanza (para el comité de privacidad — trimestral):

  • Estado del RAT y próximas revisiones
  • Contratos con encargados vigentes versus pendientes
  • EIPDs elaboradas versus necesarias
  • Planes de acción abiertos de auditorías

Principios fundamentales para el dashboard:

  • Cada indicador tiene responsable y periodicidad de actualización definidos
  • Permite comparación entre períodos (la tendencia es más informativa que el valor puntual)
  • Refleja la complejidad real de la organización — no use modelos genéricos sin adaptación
  • Es presentado regularmente a la alta dirección (requisito implícito del principio de responsabilidad activa de la Ley 21.719)

Benchmarks de madurez: lo que se observa internacionalmente

La experiencia en jurisdicciones comparables muestra que:

  • La mayoría de las organizaciones comienza en niveles 1-2 al inicio de la implementación de una nueva ley de privacidad
  • Llegar al nivel 3 (procesos definidos y documentados) ya posiciona a la organización en el cuartil superior del mercado
  • Llegar al nivel 4 (gestionado, con KPIs) es excepción — y exactamente el diferencial que las autoridades regulatorias reconocen como "buenas prácticas" en la determinación de sanciones

La lectura práctica para Chile: Con la APDP comenzando a operar en diciembre de 2026, las organizaciones que ya cuenten con indicadores documentados y un dashboard de cumplimiento activo estarán en posición radicalmente mejor ante cualquier fiscalización.

Conclusión

Los 15 indicadores presentados en esta guía no son una elección arbitraria — se derivan de lo que la Ley 21.719 exige (registro de actividades, evaluación de impacto, derechos de los titulares, seguridad, gobernanza), de lo que las autoridades regulatorias verifican en sus procesos sancionatorios internacionales y de lo que la teoría del cumplimiento reconoce como atenuante.

Un DPD que monitorea estos indicadores tiene visibilidad real sobre el estado del programa, un argumento concreto para solicitar recursos a la alta dirección y evidencia documentada para presentar ante la APDP en caso de fiscalización.

Comience por los cinco de gobernanza — son los que las autoridades regulatorias verifican primero. Agregue los operacionales y evolucione hacia los de cultura a medida que el programa madura.

Confidata centraliza los indicadores de madurez en dashboards integrados, conectando inventario de datos, gestión de incidentes, atención a titulares y registros de capacitación en un único panel de cumplimiento.

Compartir
#madurez Ley 21719#KPIs protección de datos#indicadores cumplimiento#dashboard DPD#métricas Ley 21719#programa de gobernanza

Artículos relacionados

Los 10 errores más comunes de cumplimiento con la Ley 21.719 y cómo evitar cada unoCumplimiento · 14 minPrepárese ahora: lo que necesita tener listo cuando la Agencia comience a fiscalizarCumplimiento · 14 minCiclo PDCA aplicado al cumplimiento de la Ley 21.719: mejora continua en privacidadCumplimiento · 12 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista