DPO12 min de lectura

Checklist completo para un delegado de protección de datos principiante: 50 ítems para los primeros 6 meses

Equipo Confidata·
Compartir

Los primeros meses de un delegado de protección de datos están marcados por una avalancha de frentes simultáneamente abiertos. Sin una lista organizada de lo que debe hacerse, es fácil perder tiempo en tareas de bajo impacto mientras riesgos críticos quedan sin atender.

Este checklist reúne los 50 ítems esenciales organizados por tema, para que usted sepa exactamente qué debe tener en el radar en los primeros 6 meses. No es necesario — ni posible — completar todo de una vez. Úselo como guía y priorice según el diagnóstico de su organización.

Bloque 1: Diagnóstico inicial (ítems 1–8)

El diagnóstico es el punto de partida. Sin saber dónde está, cualquier acción es especulación.

  • 1. Mapear qué áreas de la organización recopilan y tratan datos personales
  • 2. Identificar qué sistemas (CRM, ERP, liquidación de sueldos, e-commerce, etc.) contienen datos personales
  • 3. Verificar si existe un registro de tratamientos — y en qué estado se encuentra
  • 4. Identificar tratamientos de datos sensibles conforme al catálogo de la Ley 21.719: datos de salud, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos biométricos, datos genéticos, datos sobre vida u orientación sexual — y datos de niños, niñas y adolescentes (régimen especial)
  • 5. Verificar si existe una política de privacidad publicada y actualizada
  • 6. Verificar si existe un canal de atención al titular funcionando
  • 7. Evaluar el historial de incidentes: ¿hubo incidentes anteriores? ¿Cómo fueron gestionados?
  • 8. Documentar el nivel de madurez actual en cada dimensión del programa (gobernanza, seguridad, titulares, proveedores, capacitación)

Bloque 2: Gobernanza y documentación (ítems 9–20)

La documentación es tanto una exigencia legal como una protección para el delegado. Lo que no está documentado no existió.

  • 9. Formalizar la designación del delegado de protección de datos e informarla en el sitio web de la organización
  • 10. Elaborar o actualizar la política de privacidad para titulares externos (clientes, usuarios)
  • 11. Elaborar o actualizar el aviso de privacidad interno para colaboradores
  • 12. Construir o actualizar el registro de tratamientos con todas las actividades de tratamiento (categorías de datos, finalidades, bases de licitud, destinatarios, plazos de retención)
  • 13. Documentar la base de licitud para cada actividad de tratamiento identificada en el registro
  • 14. Identificar tratamientos de alto riesgo que requieran EIPD (Evaluación de Impacto en la Protección de Datos)
  • 15. Elaborar las EIPDs pendientes para los tratamientos de alto riesgo identificados
  • 16. Crear o revisar la política de retención y eliminación de datos (por cuánto tiempo se conserva cada tipo de dato y cómo se elimina de forma segura)
  • 17. Crear o revisar la política de respuesta a incidentes de seguridad con datos personales
  • 18. Establecer un registro de incidentes para documentar todos los eventos, incluso los de bajo impacto
  • 19. Verificar si existen consentimientos recolectados — ¿están documentados y son válidos conforme a la Ley 21.719?
  • 20. Crear un archivo de evidencias de cumplimiento para respaldar una eventual fiscalización de la APDP

Bloque 3: Seguridad de la información y TI (ítems 21–30)

El delegado no necesita ser especialista en TI — pero debe garantizar que la seguridad esté alineada con las obligaciones de protección de datos.

  • 21. Verificar si existe una política de seguridad de la información documentada y vigente
  • 22. Mapear qué sistemas con datos personales tienen cifrado implementado (en reposo y en tránsito)
  • 23. Verificar si el acceso a sistemas con datos personales sigue el principio del mínimo privilegio (cada usuario accede solo a lo que necesita para su función)
  • 24. Verificar si existe autenticación multifactor (MFA) implementada para accesos privilegiados y remotos
  • 25. Evaluar la política de copias de seguridad — frecuencia, lugar de almacenamiento, pruebas de restauración
  • 26. Verificar si existe un proceso de gestión de parches (actualización de sistemas) en funcionamiento
  • 27. Evaluar la política de eliminación segura de dispositivos y medios con datos personales
  • 28. Verificar si existe monitoreo de seguridad (registros, alertas) en los sistemas con datos personales críticos
  • 29. Verificar si existe un proceso de revisión periódica de accesos — especialmente de ex-colaboradores
  • 30. Garantizar que el equipo de TI conoce el protocolo de comunicación al delegado en caso de sospecha de incidente de seguridad

Bloque 4: Capacitación y cultura (ítems 31–36)

La mayoría de los incidentes de datos comienza con error humano. La capacitación es el control de riesgo con mejor costo-beneficio.

  • 31. Realizar una capacitación inicial de concientización sobre la Ley 21.719 para todos los colaboradores
  • 32. Elaborar capacitaciones específicas para las áreas con mayor exposición (marketing, RRHH, TI, atención al cliente)
  • 33. Incluir protección de datos en el proceso de onboarding de nuevos colaboradores
  • 34. Establecer una cadencia de capacitaciones periódicas (al menos anual para todos, semestral para áreas críticas)
  • 35. Crear un mecanismo interno para que los colaboradores reporten sospechas de incidente sin burocracia excesiva
  • 36. Verificar que el equipo de atención al cliente sepa cómo identificar y derivar solicitudes de derechos de titulares

Bloque 5: Derechos de los titulares (ítems 37–42)

La Ley 21.719 garantiza derechos amplios a los titulares — y el responsable tiene la obligación de garantizar su ejercicio efectivo.

  • 37. Garantizar que existe un canal de atención al titular públicamente disponible (correo electrónico, formulario u otro mecanismo)
  • 38. Definir el proceso interno de respuesta a solicitudes de titulares — quién recibe, quién evalúa, quién responde, en qué plazo
  • 39. Verificar si el plazo de respuesta se está cumpliendo conforme al Art. 11 de la Ley 21.719 (30 días hábiles, prorrogables por otros 30 con justificación)
  • 40. Mapear cómo se ejecutará técnicamente la supresión de datos cuando sea solicitada (y qué datos no pueden eliminarse por obligación legal)
  • 41. Garantizar que el proceso de portabilidad de datos esté contemplado para los sistemas que almacenan datos de usuarios
  • 42. Crear un modelo de registro de solicitudes de titulares para documentar cada pedido recibido y cómo fue gestionado

Bloque 6: Proveedores y terceros (ítems 43–47)

La cadena de proveedores es uno de los mayores vectores de riesgo — y frecuentemente el más descuidado.

  • 43. Elaborar un inventario de proveedores con acceso a datos personales (incluyendo SaaS, nube, call centers, contabilidad, etc.)
  • 44. Clasificar los proveedores por rol (encargado, responsable independiente) y por nivel de riesgo (alto, medio, bajo)
  • 45. Verificar qué proveedores tienen un contrato de encargo del tratamiento firmado — y priorizar los que no lo tienen
  • 46. Implementar un proceso de due diligence de nuevos proveedores con acceso a datos personales antes de la contratación
  • 47. Verificar si hay transferencias internacionales de datos a través de proveedores — y si existe una salvaguarda legal adecuada para cada una conforme a la Ley 21.719

Bloque 7: Gobernanza y reporte (ítems 48–50)

El programa de privacidad necesita gobernanza formal para ser sostenible.

  • 48. Establecer una cadencia de reporte a la alta dirección sobre el programa de privacidad (al menos trimestral)
  • 49. Definir KPIs del programa que sean medibles y relevantes para la alta dirección: % de tratamientos con base de licitud documentada, % de proveedores con contrato de encargo, tiempo promedio de respuesta a titulares, n.º de incidentes por trimestre
  • 50. Crear un calendario de revisión anual del programa — incluyendo revisión del registro de tratamientos, de las políticas, de las capacitaciones y del inventario de proveedores

Cómo usar este checklist

No es una carrera. El checklist cubre 6 meses de trabajo. Intentar completar todo en 30 días es garantía de hacerlo mal.

Priorice por el riesgo. Comience por los ítems que cubren los riesgos más graves: bases de licitud de tratamientos críticos, canal del titular, contrato de encargo de los proveedores más importantes, seguridad de sistemas con datos sensibles.

Documente mientras avanza. Cada ítem completado debe generar una evidencia: documento creado, correo enviado, acta de reunión, captura de pantalla del sistema actualizado. Sin evidencia, el ítem no existe para fines regulatorios.

Involucre a las áreas. Muchos ítems — especialmente en los bloques de TI, capacitación y proveedores — requieren la cooperación de otras áreas. El delegado coordina, no ejecuta solo.

Revise periódicamente. Este checklist es un punto de partida. A medida que el programa madura, surgen nuevos ítems — regulaciones de la APDP, nuevos tratamientos de datos, nuevos proveedores.

El paso siguiente a la conclusión de este checklist es estructurar la documentación de forma que sea auditable — organizada, versionada y accesible cuando la APDP lo necesite.

Descargue el eBook "Checklist de Documentación Ley 21.719" y complemente este itinerario con el inventario completo de documentos que el programa de privacidad debe mantener.

Compartir
#checklist delegado#lista tareas delegado datos#delegado principiante Ley 21.719#programa privacidad primeros pasos#delegado protección datos Chile#por dónde comenzar

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista