Cumplimiento13 min de lectura

Cláusulas contractuales esenciales para el cumplimiento de la Ley 21.719 en contratos con terceros

Equipo Confidata·
Compartir

La mayoría de los contratos de prestación de servicios en Chile aún no incluye cláusulas adecuadas de protección de datos. Contratos de TI, contratos con call centers, contratos con estudios de contabilidad, acuerdos con plataformas de software — la gran mayoría fue redactada antes de que la Ley 21.719 entrara en vigor o incluye cláusulas genéricas que no cumplen con lo que la ley exige.

La Ley 21.719 es clara: el encargado del tratamiento (el proveedor que accede a datos personales en nombre del responsable) debe realizar el tratamiento de datos conforme a las instrucciones del responsable (Art. 14 bis). Para que eso ocurra en la práctica — y para que exista evidencia de que ocurrió — las instrucciones deben estar documentadas en contrato.

Este artículo presenta las 12 cláusulas esenciales que todo contrato con un proveedor que accede a datos personales debe incluir, y cómo implementarlas de forma práctica.

Contrato de encargo vs. adenda vs. cláusulas en el contrato principal

La protección de datos puede formalizarse de tres formas:

Contrato de encargo del tratamiento autónomo: Documento separado y específico para protección de datos, que complementa el contrato de prestación de servicios. Es la estructura más común en contratos internacionales y recomendada para proveedores de Nivel 1 y Nivel 2. Ventaja: permite actualizar el contrato de encargo sin reabrir el contrato principal.

Adenda al contrato existente: Para contratos ya firmados que necesitan actualizarse para incluir cláusulas de protección de datos. Es la forma más práctica de regularizar contratos existentes sin renegociar todo el acuerdo.

Cláusulas integradas al contrato principal: Sección específica de protección de datos incluida en el cuerpo del contrato de prestación de servicios. Adecuada para contratos más simples, con proveedores de menor criticidad.

Cuál elegir: Para proveedores críticos (Nivel 1), el contrato de encargo autónomo es lo recomendado. Para proveedores estándar, las cláusulas integradas o una adenda simple son suficientes.

Las 12 cláusulas esenciales

Cláusula 1: Definición de los roles (responsable y encargado)

Por qué es esencial: La definición clara de los roles es el punto de partida de toda la estructura de responsabilidad de la Ley 21.719. Sin esa definición, cualquier disputa sobre responsabilidad en caso de incidente comienza sin fundamento.

Lenguaje sugerido:

"Para los efectos de la presente cláusula y en cumplimiento de lo dispuesto en la Ley N.º 21.719, las Partes reconocen que [CONTRATANTE] actúa como Responsable del tratamiento de los Datos Personales objeto de este Contrato, y [CONTRATADA] actúa como Encargada, realizando el tratamiento exclusivamente en nombre y conforme a las instrucciones del Responsable."

Qué verificar: Si la plataforma SaaS se define como "co-responsable" o "responsable independiente" para algunos tipos de datos, eso altera la estructura de responsabilidad y requiere evaluación jurídica específica.

Cláusula 2: Finalidad y limitación del tratamiento

Por qué es esencial: El principio de finalidad de la Ley 21.719 (Art. 3°, letra c) exige que los datos se usen solo para el propósito para el cual fueron recopilados. El encargado no puede usar los datos del responsable para sus propios fines.

Lenguaje sugerido:

"La Encargada realizará el tratamiento de Datos Personales exclusivamente para las finalidades necesarias para la prestación de los servicios previstos en este Contrato, quedando prohibido el uso de los Datos Personales para cualquier otra finalidad, incluyendo el desarrollo de productos propios, benchmarking, entrenamiento de modelos de inteligencia artificial o compartición con terceros no previstos en este instrumento."

Punto de atención: Muchos contratos de SaaS incluyen cláusulas que permiten el uso de los datos para "mejora del servicio" — que puede interpretarse como entrenamiento de modelos con sus datos. Exija una definición específica de lo que esto significa o elimine la cláusula.

Cláusula 3: Categorías de datos y titulares

Por qué es esencial: Delimitar exactamente qué datos procesa el encargado y de qué titulares. Esto limita el alcance del tratamiento y crea una referencia para evaluar incidentes.

Lenguaje sugerido:

"El tratamiento realizado por la Encargada abarca las siguientes categorías de Datos Personales: [lista específica — ej.: nombre, correo electrónico, RUT, dirección]. Los titulares de los datos incluyen: [ej.: clientes, colaboradores, prospectos]. La Encargada no deberá acceder, procesar ni conservar categorías de datos distintas de las aquí listadas sin autorización previa y por escrito del Responsable."

Cláusula 4: Obligaciones de seguridad

Por qué es esencial: La Ley 21.719 exige medidas de seguridad adecuadas (Art. 14 quinquies). El contrato debe especificar qué medidas el encargado se compromete a mantener.

Lenguaje sugerido:

"La Encargada implementará y mantendrá medidas técnicas y organizativas de seguridad adecuadas para proteger los Datos Personales contra acceso no autorizado, destrucción, pérdida, alteración o divulgación, incluyendo como mínimo: (i) cifrado de datos en tránsito y en reposo; (ii) control de acceso basado en función con privilegio mínimo; (iii) autenticación multifactor para acceso remoto y acceso privilegiado; (iv) registro de registros (logs) de acceso a los sistemas que procesan Datos Personales; (v) programa de gestión de parches y vulnerabilidades."

Cláusula 5: Restricción de sub-encargados

Por qué es esencial: Los sub-encargados no autorizados crean riesgos invisibles. El responsable debe saber quién trata sus datos.

Lenguaje sugerido — opción restrictiva:

"La Encargada no subcontratará el tratamiento de los Datos Personales a terceros sin autorización previa y por escrito del Responsable. Para cada sub-encargado autorizado, la Encargada garantizará que contratos equivalentes al presente instrumento estén en vigor, con obligaciones no inferiores a las aquí previstas."

Lenguaje sugerido — opción con lista preaprobada:

"La Encargada podrá contratar a los sub-encargados listados en el Anexo [X] del presente instrumento. Cualquier modificación a la lista de sub-encargados deberá comunicarse al Responsable con una anticipación mínima de 30 días, asegurando al Responsable el derecho a oponerse a los cambios."

Cláusula 6: Notificación de incidentes de seguridad

Por qué es esencial: La Ley 21.719 (Art. 14 sexies) exige que el responsable notifique a la APDP a la brevedad posible, y preferentemente dentro de 72 horas, tras conocer un incidente. Si el encargado demora en notificar al responsable, este puede perder el plazo.

Lenguaje sugerido:

"La Encargada notificará al Responsable, por escrito, en el plazo máximo de 48 (cuarenta y ocho) horas desde que tome conocimiento de cualquier incidente de seguridad que pueda haber afectado los Datos Personales del Responsable. La notificación deberá incluir: (i) descripción de la naturaleza del incidente; (ii) categorías y número aproximado de titulares afectados; (iii) categorías y volumen aproximado de datos involucrados; (iv) medidas adoptadas o planificadas para mitigación; (v) nombre y contacto del responsable del lado de la Encargada para comunicación sobre el incidente."

Cláusula 7: Atención a derechos de los titulares

Por qué es esencial: La Ley 21.719 (Arts. 4° a 10) garantiza al titular derechos de acceso, rectificación, supresión, oposición, portabilidad y otros. El responsable es responsable de atenderlos — pero puede necesitar la cooperación técnica del encargado para hacerlo.

Lenguaje sugerido:

"La Encargada cooperará con el Responsable para la atención de solicitudes de titulares que ejerzan sus derechos conforme a la Ley N.º 21.719, incluyendo el suministro de copia de los datos, rectificación de datos incorrectos, supresión de datos y restricción del tratamiento, en el plazo máximo de 5 (cinco) días hábiles tras la solicitud del Responsable."

Cláusula 8: Confidencialidad de los colaboradores

Por qué es esencial: Los colaboradores del encargado que tienen acceso a datos personales del responsable deben estar sujetos a obligaciones de confidencialidad.

Lenguaje sugerido:

"La Encargada garantizará que los colaboradores y prestadores de servicios que tengan acceso a los Datos Personales estén sujetos a obligaciones de confidencialidad — por cláusula contractual o por ley — y hayan recibido capacitación adecuada sobre protección de datos. El acceso se restringirá a quienes necesiten la información para desempeñar sus funciones."

Cláusula 9: Transferencias internacionales

Por qué es esencial: Si el encargado procesa datos fuera de Chile, se necesita un mecanismo de transferencia adecuado conforme a la Ley 21.719.

Lenguaje sugerido:

"Cualquier transferencia de Datos Personales fuera del territorio chileno se realizará solo cuando exista un mecanismo adecuado previsto en la legislación vigente, incluyendo: (i) transferencia a un país u organismo internacional con decisión de adecuación de la APDP; o (ii) uso de cláusulas contractuales estándar u otro mecanismo equivalente reconocido por la APDP. La Encargada informará previamente al Responsable sobre los países destinatarios y los mecanismos de transferencia utilizados."

Cláusula 10: Derecho de auditoría

Por qué es esencial: El responsable necesita poder verificar que el encargado está cumpliendo las obligaciones. Esto puede ser un cuestionario de auditoría, revisión de documentos o auditoría in situ.

Lenguaje sugerido:

"El Responsable, o el auditor que designe, podrá realizar auditorías o solicitudes de información para verificar el cumplimiento de la Encargada con las obligaciones previstas en este instrumento, mediante aviso previo de 30 (treinta) días. La Encargada cooperará con las auditorías y facilitará acceso a documentación, sistemas y personal necesarios. La Encargada podrá, como alternativa, proporcionar informes de auditoría realizados por un tercero independiente (SOC 2, ISO 27001) de los últimos 12 meses."

Cláusula 11: Plazo de retención y eliminación de los datos

Por qué es esencial: Los datos no deben conservarse más allá de lo necesario. Al fin del contrato, los datos del responsable deben devolverse o eliminarse.

Lenguaje sugerido:

"La Encargada conservará los Datos Personales por el plazo estrictamente necesario para la prestación de los servicios o según lo exija una obligación legal aplicable. En el plazo de 30 (treinta) días contados desde la terminación del Contrato o de la solicitud del Responsable, la Encargada devolverá todos los Datos Personales al Responsable en un formato utilizable y eliminará todas las copias en sus sistemas, salvo cuando la conservación sea exigida por ley. La Encargada emitirá una declaración por escrito confirmando la eliminación."

Cláusula 12: Responsabilidad e indemnización

Por qué es esencial: En caso de incidente causado por el encargado, el responsable puede ser accionado por el titular. La cláusula de indemnización permite que el responsable busque el resarcimiento del encargado por los perjuicios que sufra a causa de las fallas del encargado.

Lenguaje sugerido:

"La Encargada indemnizará y eximirá al Responsable de cualquier pérdida, daño, multa administrativa, costas judiciales y honorarios de abogados derivados del incumplimiento por parte de la Encargada de las obligaciones previstas en este instrumento o de la legislación aplicable de protección de datos, cuando tales daños se deriven exclusivamente de actos u omisiones de la Encargada."

Límite de responsabilidad: Es común que los proveedores exijan la limitación de responsabilidad al valor anual del contrato. Evalúe si eso es adecuado al riesgo — para datos altamente sensibles, la limitación puede ser insuficiente.

Cómo revisar contratos existentes: el plan de regularización

Si su organización tiene contratos activos con proveedores que acceden a datos personales pero no incluyen cláusulas de protección de datos adecuadas, el camino práctico es:

1. Inventariar los contratos: Liste todos los contratos activos con proveedores que acceden a datos personales (use el registro de tratamientos como referencia de encargados).

2. Clasificar por criticidad: Nivel 1 (datos sensibles, gran volumen) → prioridad máxima; Nivel 2 → plazo de 3 a 6 meses; Nivel 3 → plazo de 6 a 12 meses.

3. Verificar el contrato de encargo disponible del proveedor: Muchas plataformas ya tienen contrato de encargo disponible — revise si cumple con las obligaciones de la Ley 21.719 antes de redactar uno nuevo.

4. Proponer adenda o contrato de encargo: Para contratos existentes, una adenda específica de protección de datos es más rápida que renegociar el contrato completo.

5. Documentar el proceso: Registre qué proveedores tienen contrato de encargo firmado, cuáles están en negociación y cuáles aún no fueron regularizados — para demostrar diligencia ante la APDP si fuera consultada.

Checklist de cláusulas

  • ¿Definición de los roles (responsable y encargado)?
  • ¿Finalidad y limitación del tratamiento documentadas?
  • ¿Categorías de datos y titulares especificadas?
  • ¿Obligaciones de seguridad mínimas listadas?
  • ¿Restricción a sub-encargados (aprobación previa o lista)?
  • ¿Plazo de notificación de incidentes ≤ 48 horas?
  • ¿Cooperación en la atención de derechos de los titulares?
  • ¿Confidencialidad de colaboradores exigida?
  • ¿Transferencias internacionales cubiertas?
  • ¿Derecho de auditoría ejercitable?
  • ¿Eliminación/devolución de datos al término del contrato?
  • ¿Responsabilidad e indemnización por parte del encargado?

Conclusión

Un contrato sin cláusulas de protección de datos no es solo una irregularidad formal — es una laguna que, en caso de incidente, puede dejar al responsable sin defensa jurídica adecuada y sin mecanismo para buscar el resarcimiento del encargado responsable. La regularización de los contratos es una de las acciones de mayor impacto en el programa de cumplimiento de la Ley 21.719, y puede hacerse progresivamente, priorizando los proveedores de mayor riesgo.

El trabajo no necesita hacerse desde cero para cada contrato: un modelo de contrato de encargo bien redactado, adaptado para las categorías de proveedores más comunes en la organización, permite escalar la regularización de forma eficiente.

Confidata incluye módulo de gestión de proveedores con seguimiento del estado del contrato de encargo por proveedor, indicador de regularización por nivel de criticidad y modelos de cláusulas contractuales adaptables para los tipos más comunes de proveedores (SaaS, servicios profesionales, infraestructura cloud).

Compartir
#cláusulas Ley 21.719 contrato#contrato encargo modelo Chile#protección datos contrato proveedor#data processing agreement Chile#obligaciones encargado Ley 21.719#contrato privacidad datos

Artículos relacionados

Ley 21.719 vs GDPR: diferencias y similitudes que realmente importanCumplimiento · 14 minISO 27701: cómo la certificación complementa el cumplimiento con la Ley 21.719Cumplimiento · 14 minCómo evaluar y monitorear proveedores de cloud y SaaS bajo la Ley 21.719Cumplimiento · 12 minCiclo PDCA aplicado al cumplimiento de la Ley 21.719: mejora continua en privacidadCumplimiento · 12 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista