Cláusulas de Protección de Datos en Licitaciones: Modelos para la Ley 21.719 y la Ley 19.886

Unas bases de licitación publicadas en 2025 para contratar un sistema de gestión de salud municipal incluían una sola línea sobre protección de datos: "La contratista deberá cumplir la legislación vigente en materia de datos personales." Nada más. Sin definición de roles, sin obligación de notificar incidentes, sin restricciones al uso de los datos de los ciudadanos, sin derecho de auditoría.

Cuando un incidente de seguridad expuso datos de pacientes meses después, el municipio no tenía base contractual para responsabilizar al proveedor, exigir correcciones ni aplicar penalidades proporcionales. El contrato simplemente no contemplaba nada de eso.

Este escenario se repite cotidianamente en licitaciones públicas chilenas. La Ley N° 19.886, de Bases sobre Contratos Administrativos de Suministro y Prestación de Servicios, establece los requisitos para la formalización de contratos, pero no detalla cláusulas específicas de protección de datos. El resultado es que corresponde al gestor público integrar las exigencias de la Ley N° 21.719 —Ley Marco de Datos Personales, que entra en vigor el 1° de diciembre de 2026— al marco de la contratación pública.

Este artículo presenta cinco modelos de cláusulas de protección de datos listos para incorporar en bases y contratos públicos, con fundamentación legal y orientaciones prácticas para su implementación.

---

¿Por qué la Ley 19.886 exige cláusulas de protección de datos?

La Ley N° 19.886 no menciona expresamente la protección de datos personales en su texto. Sin embargo, tres instrumentos crean conjuntamente la obligación de incluir cláusulas de protección de datos en los contratos públicos:

Ley N° 21.719 (Ley Marco de Datos Personales) Sus principios de responsabilidad y de protección desde el diseño (privacy by design) obligan al organismo contratante —que actúa como responsable del tratamiento— a garantizar que sus contratistas cumplan la ley cuando traten datos personales por cuenta del organismo. La responsabilidad no se traslada al proveedor por el solo hecho de la contratación; el organismo debe adoptar medidas activas para exigir el cumplimiento.

Ley N° 19.886 y DS N° 250/2004 (Reglamento) Las bases de licitación deben especificar las condiciones de ejecución del contrato. Cuando el objeto involucra tratamiento de datos personales de ciudadanos o funcionarios, las condiciones de ese tratamiento son parte esencial de las especificaciones técnicas y administrativas.

Directiva ChileCompra N° 45 (febrero 2025) La Dirección de Compras y Contratación Pública emitió esta Directiva con recomendaciones específicas para los organismos públicos sobre el tratamiento de datos personales en sus procesos de compra. Reafirma que los organismos deben aplicar los principios de licitud y veracidad en sus contratos y que los datos no pueden usarse para fines distintos de los declarados en las bases.

El principio es claro: los datos de los ciudadanos que circulan a través de un contrato público son responsabilidad del organismo, independientemente de que el procesamiento técnico lo realice un proveedor privado.

---

¿Cuál es la diferencia entre una cláusula de protección de datos y un DPA completo?

Antes de presentar los modelos, es importante distinguir ambos instrumentos:

Cláusula de protección de datos en el contrato: Sección integrada directamente al cuerpo del contrato administrativo (o a las bases/especificaciones técnicas), que establece obligaciones mínimas de conformidad con la Ley 21.719. Adecuada para contratos más simples, con tratamiento de datos de menor volumen o criticidad.

DPA (Data Processing Agreement) o Acuerdo de Tratamiento de Datos: Documento autónomo y detallado que funciona como anexo al contrato principal. Describe con precisión qué datos se tratan, para qué finalidades, por cuánto tiempo, qué medidas de seguridad se exigen y cómo deben gestionarse los incidentes. Recomendado para contratos de alta criticidad —sistemas de salud, plataformas de gestión de personal, herramientas que procesan datos sensibles.

Para una guía completa sobre cómo elaborar un DPA, consulte nuestro artículo sobre cómo elaborar un DPA (Data Processing Agreement).

Para licitaciones públicas, la recomendación es:

Tipo de contratación	Instrumento recomendado
Servicios de TI con datos personales de ciudadanos	DPA completo como anexo al contrato
SaaS con datos sensibles (salud, biometría)	DPA completo + cláusulas en las bases
Servicios generales con datos de funcionarios	Cláusulas integradas al contrato
Provisión de bienes sin datos personales	Cláusula genérica de conformidad

Independientemente del instrumento elegido, las cinco cláusulas a continuación deben estar presentes —ya sea en el cuerpo del contrato, en el DPA o en las bases técnicas.

---

5 modelos de cláusulas de protección de datos para bases y contratos públicos

Modelo 1: Cláusula de conformidad general con la Ley 21.719

Cuándo usar: En todos los contratos que involucren cualquier tipo de tratamiento de datos personales —desde la contratación de un sistema de RR.HH. hasta servicios de aseo que requieran registro de personal.

Fundamentación: Principios de la Ley N° 21.719 (licitud, transparencia, finalidad, responsabilidad); Art. 14 bis (obligaciones del encargado del tratamiento); Art. 14 quinquies (medidas de seguridad); Ley N° 19.886 y DS N° 250/2004.

CLÁUSULA [N°] — DE LA PROTECCIÓN DE DATOS PERSONALES

[N°].1. LA CONTRATISTA se obliga a tratar los datos personales a los que
tenga acceso con motivo de la ejecución del presente Contrato en
conformidad con la Ley N° 21.719 (Ley Marco de Datos Personales), sus
reglamentos y las instrucciones de la Agencia de Protección de Datos
Personales, comprometiéndose a:

  a) Tratar los datos personales exclusivamente para las finalidades
     necesarias para la ejecución del objeto contractual, quedando
     prohibido su uso para cualquier otra finalidad, incluidas
     actividades de interés exclusivo de LA CONTRATISTA;

  b) Observar los principios de licitud, lealtad y transparencia,
     finalidad, proporcionalidad, calidad y responsabilidad establecidos
     en la Ley N° 21.719;

  c) Designar un Delegado de Protección de Datos cuando corresponda
     conforme a la Ley N° 21.719, informando a EL ORGANISMO los datos
     de contacto del responsable;

  d) Adoptar medidas técnicas y organizacionales de seguridad aptas
     para proteger los datos personales de accesos no autorizados y
     de situaciones accidentales o ilícitas de destrucción, pérdida,
     alteración, comunicación o tratamiento inadecuado, conforme al
     Art. 14 quinquies de la Ley N° 21.719;

  e) Mantener un registro de las actividades de tratamiento de datos
     personales realizadas con motivo del presente Contrato.

[N°].2. Para efectos de este Contrato, EL ORGANISMO actúa como
RESPONSABLE DEL TRATAMIENTO de los datos personales, y LA CONTRATISTA
actúa como ENCARGADA DEL TRATAMIENTO, realizando el procesamiento
exclusivamente en nombre y conforme a las instrucciones de EL ORGANISMO.

[N°].3. LA CONTRATISTA responderá civil y administrativamente por
cualquier daño causado a los titulares de datos personales en razón del
incumplimiento de las obligaciones previstas en esta cláusula y en la
Ley N° 21.719.

Punto de atención para encargados de licitación: La definición explícita de roles (responsable y encargado del tratamiento) en el ítem [N°].2 es esencial. Sin ella, en caso de incidente, la responsabilidad queda indefinida —y el organismo puede ser corresponsabilizado por fallas del proveedor.

---

Modelo 2: Cláusula de alcance y limitación del tratamiento de datos

Cuándo usar: En contratos de TI, SaaS y prestación de servicios que involucren acceso directo a datos personales de ciudadanos o funcionarios —sistemas de salud, educación, asistencia social, gestión de personal.

Fundamentación: Bases de licitud de la Ley N° 21.719 (obligación legal / ejercicio de atribuciones de organismos públicos); principios de finalidad y proporcionalidad; Directiva ChileCompra N° 45 (2025).

CLÁUSULA [N°] — DEL ALCANCE Y LIMITACIÓN DEL TRATAMIENTO DE DATOS

[N°].1. El tratamiento de datos personales por parte de LA CONTRATISTA
se limita estrictamente a las siguientes condiciones:

  a) CATEGORÍAS DE DATOS: [especificar: nombre, RUT, domicilio, datos
     de salud, datos biométricos, datos financieros, etc.];

  b) CATEGORÍAS DE TITULARES: [especificar: ciudadanos usuarios del
     servicio, funcionarios públicos, beneficiarios de programas
     sociales, pacientes, estudiantes, etc.];

  c) FINALIDADES AUTORIZADAS: [especificar: prestación del servicio
     descrito en el objeto contractual, emisión de reportes de gestión,
     soporte técnico, etc.];

  d) DURACIÓN DEL TRATAMIENTO: durante la vigencia contractual y por
     el plazo adicional necesario para el cumplimiento de obligaciones
     legales o reglamentarias;

  e) BASE DE LICITUD: ejercicio de atribuciones o cumplimiento de
     deberes legales del organismo público, conforme a la
     Ley N° 21.719, y/o cumplimiento de obligación legal.

[N°].2. Queda expresamente prohibido a LA CONTRATISTA:

  a) Tratar los datos personales para finalidades distintas de las
     previstas en el presente Contrato;

  b) Compartir, transferir o comunicar datos personales a terceros
     sin autorización previa y expresa de EL ORGANISMO;

  c) Utilizar los datos personales para entrenamiento de modelos de
     inteligencia artificial, minería de datos, analítica,
     benchmarking o cualquier otra actividad de interés propio de
     LA CONTRATISTA;

  d) Realizar transferencia internacional de datos personales sin
     autorización previa de EL ORGANISMO y sin las garantías adecuadas
     exigidas por la Ley N° 21.719.

[N°].3. Al término del Contrato, LA CONTRATISTA deberá, conforme a
instrucciones de EL ORGANISMO:

  a) Devolver todos los datos personales en formato estructurado,
     interoperable y de uso corriente; y

  b) Eliminar de forma segura y definitiva todas las copias de los
     datos personales almacenados en sus sistemas, emitiendo
     declaración formal de eliminación en el plazo de [30] días
     corridos tras el cierre contractual.

Punto de atención: La especificación de categorías de datos y titulares no es mera formalidad —delimita el alcance de actuación del encargado y facilita la fiscalización. La Directiva ChileCompra N° 45 (2025) reafirma que el principio de finalidad prohíbe usar los datos para propósitos distintos de los declarados en las bases.

---

Modelo 3: Cláusula de notificación y gestión de incidentes de seguridad

Cuándo usar: En todos los contratos que involucren datos personales. La obligación de notificar incidentes deriva del Art. 14 sexies de la Ley N° 21.719 y es indispensable para que el organismo pueda cumplir sus plazos legales de comunicación a la Agencia de Protección de Datos Personales y a los titulares afectados.

Fundamentación: Ley N° 21.719, Arts. 14 quinquies (seguridad) y 14 sexies (notificación de vulneraciones).

CLÁUSULA [N°] — DE LA NOTIFICACIÓN Y GESTIÓN DE INCIDENTES DE SEGURIDAD

[N°].1. LA CONTRATISTA deberá comunicar a EL ORGANISMO, en un plazo
máximo de [48] horas desde el conocimiento del hecho, cualquier
incidente de seguridad que pueda generar riesgo o daño relevante a los
titulares de los datos personales tratados con motivo del presente
Contrato, incluyendo, entre otros:

  a) Accesos no autorizados a sistemas o bases de datos;
  b) Filtración, pérdida o exposición de datos personales;
  c) Ataques cibernéticos (ransomware, phishing dirigido, etc.);
  d) Fallas de seguridad que comprometan la integridad o
     disponibilidad de los datos;
  e) Cualquier tratamiento de datos personales realizado en
     desacuerdo con las instrucciones de EL ORGANISMO.

[N°].2. La comunicación deberá contener, a lo menos:

  a) Descripción de la naturaleza del incidente;
  b) Categorías y número aproximado de titulares afectados;
  c) Categorías y número aproximado de registros afectados;
  d) Descripción de las consecuencias probables del incidente;
  e) Medidas técnicas y de seguridad ya adoptadas para contener el
     incidente y mitigar sus efectos;
  f) Identificación del responsable de la gestión del incidente y
     sus datos de contacto.

[N°].3. LA CONTRATISTA deberá cooperar íntegramente con EL ORGANISMO
en la investigación, contención y remediación del incidente,
proporcionando registros de acceso, evidencias técnicas y demás
información requerida.

[N°].4. LA CONTRATISTA deberá mantener un plan de respuesta a
incidentes de seguridad documentado y actualizado, compatible con la
naturaleza y el volumen de los datos tratados, presentándolo a
EL ORGANISMO cuando sea requerido.

[N°].5. La comunicación del incidente no exime a LA CONTRATISTA de
su responsabilidad por los daños causados a los titulares o a
EL ORGANISMO en razón del incidente.

¿Por qué 48 horas? La Ley N° 21.719 (Art. 14 sexies) establece que la notificación a la Agencia de Protección de Datos Personales debe realizarse sin demora indebida, y preferentemente dentro de las 72 horas siguientes al conocimiento del incidente. El plazo de 48 horas para la comunicación interna (del encargado al responsable) le otorga al organismo el tiempo hábil necesario para evaluar el incidente y cumplir sus propias obligaciones ante la Agencia y los titulares. Para entender el flujo completo de comunicación de incidentes, consulte nuestro artículo sobre cómo comunicar una filtración de datos a los titulares afectados.

---

Modelo 4: Cláusula sobre subencargados (subcontratación)

Cuándo usar: En contratos donde el proveedor principal puede subcontratar parte de los servicios —proveedores de nube que usan infraestructura de terceros, empresas de TI que subcontratan soporte, integradores de sistemas.

Fundamentación: Ley N° 21.719, Arts. 14 bis y 14 quinquies; Ley N° 19.886 (subcontratación).

CLÁUSULA [N°] — DE LOS SUBENCARGADOS

[N°].1. LA CONTRATISTA no podrá subcontratar total o parcialmente el
tratamiento de datos personales objeto del presente Contrato sin
autorización previa y expresa de EL ORGANISMO.

[N°].2. La autorización referida podrá ser:

  a) ESPECÍFICA: para un subencargado determinado, identificado por
     razón social, RUT y descripción de los servicios a prestar; o

  b) GENERAL: con autorización para categoría de subencargados,
     siempre que LA CONTRATISTA comunique a EL ORGANISMO, con a lo
     menos [30] días de anticipación, la incorporación de un nuevo
     subencargado, informando razón social, RUT, ubicación, servicio
     a prestar y medidas de seguridad adoptadas.

[N°].3. EL ORGANISMO podrá, dentro del plazo de [15] días siguientes
a la comunicación prevista en la letra b) del numeral anterior,
presentar objeción fundada a la incorporación del subencargado, si
identifica riesgo para la seguridad o para la conformidad con la
Ley N° 21.719.

[N°].4. LA CONTRATISTA deberá exigir de sus subencargados las mismas
obligaciones de protección de datos previstas en este Contrato,
mediante instrumento contractual que los vincule a las mismas
condiciones y responsabilidades.

[N°].5. LA CONTRATISTA permanece íntegramente responsable ante
EL ORGANISMO por el tratamiento de datos personales realizado por
sus subencargados, respondiendo por cualquier daño o incumplimiento
derivado de la actuación de terceros subcontratados.

[N°].6. LA CONTRATISTA deberá mantener y presentar a EL ORGANISMO,
cuando sea requerido, el listado actualizado de todos los subencargados
que realicen tratamiento de datos personales con motivo del presente
Contrato.

Punto de atención: Antes de publicar las bases, verifique si la licitación permite subcontratación y en qué condiciones. Si se permite, la cláusula de subencargados es indispensable para mantener visibilidad sobre toda la cadena de procesamiento de los datos de los ciudadanos.

---

Modelo 5: Cláusula de auditoría y verificación de conformidad

Cuándo usar: En todos los contratos de mediana y alta criticidad. Sin derecho de auditoría, el organismo no puede verificar si el encargado está cumpliendo efectivamente sus obligaciones de protección de datos —y puede ser corresponsabilizado por fallas que nunca identificó.

Fundamentación: Principio de responsabilidad (Ley N° 21.719); Art. 14 quinquies; Ley N° 19.886 (supervisión de contratos).

CLÁUSULA [N°] — DE LA AUDITORÍA Y VERIFICACIÓN DE CONFORMIDAD

[N°].1. EL ORGANISMO, directamente o mediante terceros designados por él,
podrá realizar auditorías e inspecciones en los sistemas, procesos e
instalaciones de LA CONTRATISTA relacionados con el tratamiento de
datos personales objeto del Contrato, con el objetivo de verificar el
cumplimiento de las obligaciones de protección de datos aquí previstas
y en la Ley N° 21.719.

[N°].2. Las auditorías podrán realizarse:

  a) De forma programada, mediante notificación con a lo menos [15]
     días hábiles de anticipación;

  b) De forma no programada, en caso de sospecha fundada de incidente
     de seguridad o incumplimiento contractual, mediante notificación
     con a lo menos [48] horas de anticipación.

[N°].3. LA CONTRATISTA deberá cooperar íntegramente con las
auditorías, proporcionando:

  a) Acceso a sistemas, registros y bitácoras de tratamiento de datos;
  b) Documentación de políticas y procedimientos de seguridad de
     la información;
  c) Evaluación de Impacto en Protección de Datos (EIPD), cuando
     corresponda;
  d) Evidencias de capacitación del personal en protección de datos;
  e) Certificaciones de seguridad vigentes (ISO 27001, SOC 2, etc.),
     cuando existieren;
  f) Cualquier otra información necesaria para evaluar la conformidad.

[N°].4. LA CONTRATISTA deberá, cuando sea requerida, presentar a
EL ORGANISMO un informe de conformidad con la Ley N° 21.719, describiendo
las medidas técnicas y organizacionales adoptadas para la protección de
los datos personales tratados en razón del Contrato, en el plazo de [20]
días hábiles a contar de la solicitud.

[N°].5. Las no conformidades identificadas en auditoría serán
comunicadas formalmente a LA CONTRATISTA, que tendrá [30] días corridos
para presentar un plan de acción correctiva y [90] días corridos para
implementar las correcciones, salvo en casos de riesgo grave e
inminente, que deberán tratarse de forma inmediata.

[N°].6. El ejercicio del derecho de auditoría por parte de EL ORGANISMO
no exime a LA CONTRATISTA de su responsabilidad por el cumplimiento de
las obligaciones de protección de datos previstas en este Contrato y
en la Ley N° 21.719.

Punto de atención para inspectores técnicos de contrato: La Ley N° 19.886 establece que la ejecución del contrato debe ser supervisada por representantes del organismo. La fiscalización de cláusulas de protección de datos debe incorporarse al plan de supervisión contractual, con indicadores y evidencias verificables —no solo declaraciones del proveedor.

---

¿Cómo evaluar la conformidad con la Ley 21.719 de los licitantes en la fase de habilitación?

La Ley N° 19.886 y el DS N° 250/2004 prevén requisitos de habilitación para los licitantes. La inclusión de exigencias de protección de datos en la habilitación técnica es jurídicamente posible, siempre que sean proporcionales y pertinentes al objeto licitado.

Exigencias posibles en las bases:

1. Declaración de conformidad con la Ley N° 21.719, firmada por el representante legal, certificando que la empresa adopta medidas técnicas y organizacionales de seguridad compatibles con la naturaleza de los datos a tratar.

2. Indicación del Delegado de Protección de Datos, con nombre y datos de contacto, cuando la empresa esté obligada a designarlo conforme a la Ley N° 21.719.

3. Presentación de política de seguridad de la información documentada y vigente, compatible con los requisitos del contrato.

4. Certificaciones de seguridad (ISO 27001, SOC 2, ISO 27701) como criterio de puntaje técnico en licitaciones del tipo "técnica y precio" —nunca como criterio eliminatorio, para no restringir indebidamente la competencia.

5. Certificado de capacidad técnica que acredite experiencia previa en proyectos con tratamiento de datos personales en volumen y criticidad compatibles con el objeto licitado.

Atención: Las exigencias desproporcionadas pueden ser impugnadas ante la Contraloría General de la República. Exigir ISO 27001 como requisito obligatorio para una empresa de aseo que solo accederá a datos de sus propios trabajadores sería desproporcionado. La proporcionalidad debe considerar el volumen, la naturaleza y la sensibilidad de los datos involucrados.

La Directiva ChileCompra N° 45 (2025) refuerza que los organismos deben adoptar medidas proporcionales al riesgo —y esa proporcionalidad se extiende a las exigencias impuestas a los contratistas.

---

¿Cómo funciona la fiscalización contractual de protección de datos?

La Ley N° 19.886 establece que la ejecución del contrato debe ser supervisada por representantes del organismo contratante. La fiscalización de cláusulas de protección de datos exige competencias específicas y un plan estructurado.

Elementos de un plan de fiscalización de protección de datos:

Frecuencia: Verificaciones trimestrales para contratos de alta criticidad; semestrales para contratos de criticidad moderada.

Indicadores verificables:

• Número de incidentes de seguridad reportados en el período
• Tiempo promedio de respuesta a incidentes (versus el contractual)
• Porcentaje de colaboradores capacitados en protección de datos
• Estado de las certificaciones de seguridad
• Existencia y actualización del registro de actividades de tratamiento
• Existencia de plan de respuesta a incidentes documentado

Evidencias a solicitar:

• Informes de pruebas de vulnerabilidad y penetración
• Registros de control de acceso a datos personales
• Registros de capacitación del equipo
• Listado actualizado de subencargados
• Informe de conformidad Ley 21.719 (conforme Modelo 5)

Quién fiscaliza: Idealmente, el inspector técnico del contrato debe contar con el apoyo del Delegado de Protección de Datos del organismo y, cuando sea necesario, del área técnica de seguridad de la información. Para contratos más complejos, la contratación de auditoría externa independiente es recomendable.

---

¿Cuáles son los errores más comunes en bases de licitación sobre protección de datos?

El análisis de bases publicadas en el Portal Mercado Público (mercadopublico.cl) revela patrones recurrentes de cláusulas ineficaces:

Error 1: Cláusula genérica sin efecto práctico

"La contratista deberá cumplir la legislación vigente en materia de datos personales."

Por qué es ineficaz: Esta cláusula no agrega nada al contrato —la Ley N° 21.719 se aplica independientemente de la previsión contractual. Sin especificar obligaciones concretas (notificación de incidentes, alcance del tratamiento, derecho de auditoría), no ofrece ningún instrumento para la fiscalización o la responsabilización del proveedor.

Solución: Sustituir por la Cláusula de Conformidad General (Modelo 1) y complementar con los modelos específicos según la criticidad del contrato.

Error 2: Sin definición de roles (responsable/encargado del tratamiento)

Muchos contratos no definen quién es el responsable y quién es el encargado del tratamiento. Esto genera ambigüedad sobre responsabilidad, especialmente en contratos de SaaS donde el proveedor puede argumentar que actúa como responsable independiente de parte de los datos.

Solución: Incluir definición explícita en el ítem [N°].2 del Modelo 1.

Error 3: Sin obligación de devolución y eliminación de datos al término del contrato

Cuando el contrato termina, los datos de los ciudadanos frecuentemente permanecen en los sistemas del proveedor anterior —sin base de licitud para continuar tratándolos, pero sin obligación contractual de eliminarlos.

Solución: Incluir el ítem [N°].3 del Modelo 2, con plazo definido y exigencia de declaración formal de eliminación.

Error 4: Sin plazo para notificación de incidentes

Contratos que mencionan el "deber de comunicar incidentes" sin definir plazo dejan al organismo a merced de la buena voluntad del proveedor. Cuando el proveedor comunica semanas después, el organismo puede haber perdido el plazo legal de notificación a la Agencia (72 horas preferentes, conforme Art. 14 sexies de la Ley N° 21.719).

Solución: Incluir plazo máximo de comunicación (Modelo 3, ítem [N°].1).

Error 5: Sin control sobre subencargados

Un proveedor licitado puede subcontratar servicios de infraestructura (nube), soporte, almacenamiento o procesamiento —y los datos de los ciudadanos pasan a ser tratados por entidades que el organismo desconoce.

Solución: Incluir cláusula de subencargados (Modelo 4) con exigencia de comunicación previa y derecho de objeción.

Error 6: Sin derecho de auditoría

Sin previsión contractual de auditoría, el organismo no tiene base para verificar si las obligaciones de protección de datos se están cumpliendo en la práctica —y puede ser corresponsabilizado por fallas que nunca tuvo condiciones de identificar.

Solución: Incluir cláusula de auditoría (Modelo 5) con previsión de auditorías programadas y no programadas.

Error 7: Confundir protección de datos con seguridad de la información genérica

Algunas bases incluyen extensas cláusulas de seguridad de la información (firewalls, antivirus, copias de seguridad) pero ignoran las obligaciones específicas de la Ley N° 21.719 —registro de actividades, análisis de impacto, derechos de los titulares, base de licitud, limitación de finalidad.

Solución: La seguridad de la información es parte de la conformidad con la Ley N° 21.719, pero no la reemplaza. Las cláusulas de seguridad deben complementar —no sustituir— las cláusulas específicas de protección de datos.

---

¿Cómo incorporar las cláusulas en las bases y el contrato?

La mejor práctica para contratos bajo la Ley N° 19.886 es insertar los requisitos de protección de datos en tres momentos del proceso licitatorio:

1. En las Bases Técnicas: Describir los requisitos de conformidad con la Ley N° 21.719 como parte de las especificaciones del objeto. Esto permite a los licitantes dimensionar los costos de conformidad en sus propuestas.

2. En la Minuta del Contrato: Incluir las cláusulas de protección de datos en el cuerpo del contrato o como anexo (DPA). Los cinco modelos de este artículo pueden insertarse directamente en la minuta.

3. En los Requisitos de Habilitación: Incluir exigencias proporcionales de conformidad con la Ley N° 21.719 en la habilitación técnica, conforme a lo descrito en la sección anterior.

Modelo de estructura para las bases:

BASES DE LICITACIÓN PÚBLICA ID [XX-XXXX-LXXX]

[...]

PUNTO XX — DE LA PROTECCIÓN DE DATOS PERSONALES

XX.1. La ejecución del objeto involucra el tratamiento de datos personales
de [especificar categorías de titulares], según el detalle en las
Bases Técnicas (Anexo I).

XX.2. La empresa adjudicataria actuará como ENCARGADA DEL TRATAMIENTO
de datos personales, conforme a la Ley N° 21.719, debiendo observar
todas las obligaciones previstas en la Cláusula [N°] de la Minuta de
Contrato (Anexo [X]).

XX.3. Para efectos de habilitación técnica, la licitante deberá presentar:
  a) Declaración de conformidad con la Ley N° 21.719;
  b) Indicación del Delegado de Protección de Datos (cuando corresponda),
     con nombre y datos de contacto.

XX.4. La contratación incluirá un Acuerdo de Tratamiento de Datos (DPA)
como Anexo [X] al Contrato, conforme a la minuta adjunta a estas Bases.

---

Lista de verificación: cláusulas de protección de datos en licitaciones y contratos públicos

Use esta lista antes de publicar unas bases o formalizar un contrato que involucre tratamiento de datos personales:

Análisis preliminar:

• ¿Identificamos qué datos personales tratará el contratista?
• ¿Clasificamos la criticidad del tratamiento (baja, media, alta)?
• ¿Definimos si usaremos cláusulas en el contrato o DPA como anexo?

Cláusulas obligatorias:

• ¿Conformidad general con Ley N° 21.719 (Modelo 1) incluida?
• ¿Definición de roles responsable/encargado del tratamiento incluida?
• ¿Alcance y limitación del tratamiento (Modelo 2) incluidos?
• ¿Categorías de datos y titulares especificadas?
• ¿Finalidades autorizadas delimitadas?
• ¿Prohibición de uso para fines propios del contratista explícita?

Seguridad e incidentes:

• ¿Cláusula de notificación de incidentes (Modelo 3) incluida?
• ¿Plazo máximo de comunicación definido?
• ¿Contenido mínimo de la comunicación especificado?
• ¿Obligación de cooperación en la investigación prevista?

Subcontratación:

• ¿Cláusula de subencargados (Modelo 4) incluida?
• ¿Autorización previa para subcontratación exigida?
• ¿Responsabilidad del contratista por subencargados definida?

Auditoría y fiscalización:

• ¿Cláusula de auditoría (Modelo 5) incluida?
• ¿Derecho de auditoría programada y no programada previsto?
• ¿Obligación de presentar informe de conformidad incluida?

Término contractual:

• ¿Obligación de devolución de datos prevista?
• ¿Obligación de eliminación segura prevista?
• ¿Plazo para eliminación definido?
• ¿Exigencia de declaración de eliminación incluida?

Habilitación:

• ¿Declaración de conformidad Ley N° 21.719 exigida?
• ¿Indicación de Delegado de Protección de Datos exigida (cuando corresponda)?
• ¿Exigencias proporcionales al objeto verificadas?

Fiscalización contractual:

• ¿Plan de fiscalización de protección de datos elaborado?
• ¿Indicadores de verificación definidos?
• ¿Responsable de la fiscalización designado?
• ¿Delegado de Protección de Datos del organismo involucrado en la fiscalización?

---

Conclusión

La articulación entre la Ley N° 19.886 y la Ley N° 21.719 no es opcional —es una obligación legal. La Directiva ChileCompra N° 45 (2025) fue explícita: los organismos públicos deben aplicar los principios de protección de datos en todos sus procesos de contratación, desde la planificación hasta la fiscalización de la ejecución.

Cláusulas genéricas como "la contratista deberá cumplir la legislación vigente" no satisfacen esta exigencia. Los cinco modelos presentados —conformidad general, alcance del tratamiento, incidentes, subencargados y auditoría— ofrecen una base concreta y fundamentada para que gestores públicos, unidades de compras y áreas jurídicas estructuren bases y contratos que protejan efectivamente los datos de los ciudadanos.

La protección de datos no es solo una cuestión de conformidad regulatoria —es una cuestión de confianza pública. Cuando un ciudadano entrega sus datos a un organismo público, espera que el Estado los proteja con el mismo rigor que aplica a la gestión de los recursos públicos.

---

Confidata es la plataforma de conformidad con la Ley N° 21.719 desarrollada para el sector público y privado. Con módulos de gestión de proveedores, inventario de datos, evaluación de riesgos y gestión de incidentes, Confidata ayuda a los organismos a implementar, monitorear y evidenciar la conformidad —incluyendo la gestión de cláusulas contractuales de protección de datos con todos sus contratistas y encargados. Solicite una demostración y descubra cómo simplificar la conformidad.