Cómo crear una política de privacidad conforme a la Ley 21.719
La política de privacidad es el rostro público de su programa de conformidad con la Ley N° 21.719. Es a través de ella que los titulares de datos —clientes, colaboradores, visitantes— conocen sus derechos y entienden cómo se tratan sus datos. Una política inadecuada no es solo un problema jurídico: es una falla de transparencia que erosiona la confianza del titular y expone a la organización a sanciones.
La buena noticia: crear una política de privacidad sólida sigue una lógica clara. Esta guía presenta todos los elementos obligatorios, los errores a evitar y cómo estructurar un documento que realmente funcione.
Aviso de privacidad, política de privacidad y aviso de cookies: ¿cuál es la diferencia?
Antes de escribir una sola línea, es necesario entender que estos tres documentos son distintos:
Aviso de privacidad (Privacy Notice):
- Para quién: público externo —clientes, usuarios del sitio, visitantes, titulares de datos
- Qué es: documento de comunicación pública orientado al titular; informa qué se recolecta, para qué, con quién se comparte y cuáles son los derechos
- Lenguaje: claro, accesible, no técnico
- Base normativa: principio de transparencia e información de la Ley N° 21.719
Política de privacidad interna (Privacy Policy):
- Para quién: colaboradores, socios operacionales, DPO, TI
- Qué es: documento de gobernanza interna con rutinas de recolección, almacenamiento, eliminación, intercambio con terceros y procedimientos de atención a titulares
- Lenguaje: técnico, normativo, como política corporativa
- Base normativa: principio de responsabilidad y Art. 14 bis de la Ley N° 21.719
Aviso de cookies (Cookie Banner):
- Para quién: usuario en el momento de acceder al sitio
- Qué es: mecanismo de obtención de consentimiento para cookies no esenciales + información sobre tecnologías de seguimiento
- Forma: banner o pop-up interactivo en el primer acceso
Nota práctica: En el uso común, "política de privacidad" se usa para designar el documento público disponible en el sitio web —lo que técnicamente sería el "aviso de privacidad". En esta guía, trataremos del documento público accesible a los titulares, sea denominado aviso o política.
Lo que exige la Ley 21.719: principios y obligaciones centrales
La Ley N° 21.719 consagra el principio de transparencia como uno de sus pilares, exigiendo que las organizaciones informen a los titulares sobre las condiciones del tratamiento de sus datos. El Art. 14 ter establece que el responsable del tratamiento debe publicar o poner a disposición de los titulares información sobre sus prácticas de tratamiento de datos.
El principio de transparencia requiere que las informaciones sean claras, precisas y de fácil acceso, incluyendo:
| Elemento | Información obligatoria |
|---|---|
| Identidad del responsable | Nombre, domicilio y datos de contacto del responsable del tratamiento |
| Representante en Chile | Cuando el responsable no esté domiciliado en Chile |
| Finalidades específicas | Por qué se tratan los datos y con qué base de licitud |
| Destinatarios | Con quién se comparten los datos y para qué finalidades |
| Transferencias internacionales | Países de destino y garantías aplicadas |
| Período de retención | Cuánto tiempo se conservan los datos y con qué criterio |
| Derechos del titular | Todos los derechos reconocidos y cómo ejercerlos |
| Delegado de Protección de Datos | Datos de contacto cuando haya Delegado designado |
Los 13 bloques de una política de privacidad completa
Bloque 1 — Identificación del responsable del tratamiento
Informe quién es responsable de los datos:
- Razón social y nombre de fantasía
- RUT
- Domicilio
- Canales de contacto (correo, teléfono, formulario)
Bloque 2 — Delegado de Protección de Datos
Cuando se haya designado un Delegado (obligatorio para organismos públicos conforme al Art. 14 quáter de la Ley 21.719, y recomendado para empresas cuya actividad principal involucre tratamiento regular y sistemático de datos personales a gran escala o de datos sensibles):
- Nombre del Delegado o razón social de la empresa que cumple esa función
- Canal de contacto directo (preferentemente correo dedicado:
dpo@empresa.cl)
Bloque 3 — Datos recolectados
Liste las categorías de datos personales tratados:
- Datos de identificación (nombre, RUT, correo, teléfono, domicilio)
- Datos de comportamiento (historial de navegación, logs de acceso)
- Datos financieros (datos bancarios, historial de transacciones)
- Datos de ubicación (IP, GPS, dirección)
- Datos sensibles (si aplica) —con énfasis especial, conforme a la Ley N° 21.719
- Datos de menores (si aplica) —requiere sección específica
Para cada categoría, informe cómo se recolectan: formularios, cookies, integraciones con terceros, recolección directa.
Bloque 4 — Finalidades del tratamiento
Para cada categoría de dato, informe para qué se usa. Las finalidades deben ser:
- Específicas (no genéricas como "mejorar la experiencia")
- Explícitas (declaradas antes de la recolección)
- Legítimas (compatibles con el ordenamiento jurídico)
Ejemplo correcto: "Sus datos de correo son utilizados para el envío de comunicaciones sobre actualizaciones del servicio contratado y, con su consentimiento específico, para el envío de novedades y promociones."
Ejemplo incorrecto: "Usamos sus datos para diversos fines, incluida la mejora de productos y servicios."
Bloque 5 — Bases de licitud
Para cada finalidad, informe la base de licitud correspondiente entre las previstas en el Art. 13 de la Ley N° 21.719:
- Consentimiento del titular — libre, informado, específico, inequívoco y verificable
- Obligación legal — cuando la ley exige el tratamiento
- Ejecución de contrato — cuando el tratamiento es necesario para ejecutar el contrato del que el titular es parte
- Interés legítimo — cuando existe un interés legítimo del responsable que no prevalezca sobre los derechos del titular (requiere Evaluación de Interés Legítimo documentada)
- Ejercicio de atribuciones de organismos públicos — exclusivo del sector público
- Datos relativos a obligaciones económicas, financieras o comerciales — para protección del crédito
No basta decir "tratamos sus datos con base en la ley" —indique la hipótesis específica.
Bloque 6 — Intercambio de datos
Informe con quién se comparten los datos:
- Socios y prestadores de servicios (identifique las categorías, no es necesario listar cada empresa)
- Autoridades públicas (Agencia de Protección de Datos, SII, otros cuando lo exige la ley)
- Plataformas tecnológicas (si usa AWS, Google Cloud, herramientas SaaS con acceso a datos)
- Finalidad de cada intercambio
Si hay transferencia internacional de datos, informe el país de destino y las garantías aplicadas. Las organizaciones que usan herramientas extranjeras (Google, AWS, HubSpot, Stripe) realizan transferencias internacionales y deben informar a los titulares.
Bloque 7 — Período de retención
Informe por cuánto tiempo se conserva cada categoría de dato y el criterio empleado:
- Plazo contractual: datos retenidos durante la vigencia del contrato + período adicional
- Obligación legal: ej. documentos tributarios por el plazo que exige el SII
- Plazo razonable: ej. datos de candidatos no seleccionados por 6 meses
Informe también qué ocurre tras el plazo: eliminación definitiva, anonimización o archivo con acceso restringido.
Bloque 8 — Derechos del titular
Mencione todos los derechos reconocidos por la Ley N° 21.719:
- Acceso — confirmar si se tratan datos y acceder a ellos
- Rectificación — corregir datos inexactos, incompletos o desactualizados
- Supresión / Cancelación — eliminar datos cuando ya no sean necesarios, se revoque el consentimiento o el tratamiento sea ilícito
- Oposición — oponerse al tratamiento en determinadas circunstancias
- Portabilidad — recibir los datos en formato estructurado para transferirlos a otro responsable
- Bloqueo — suspender temporalmente el tratamiento mientras se resuelve una solicitud
- Información sobre destinatarios — saber con quién se compartieron los datos
- Revocación del consentimiento — retirarlo en cualquier momento sin efectos retroactivos
Bloque 9 — Cómo ejercer los derechos
Informe el canal de atención al titular (correo, formulario, portal dedicado), el plazo de respuesta y que la atención es gratuita. Mencione también la posibilidad de reclamar ante la Agencia de Protección de Datos Personales cuando no se dé respuesta satisfactoria.
Bloque 10 — Seguridad de los datos
Describa las medidas de seguridad adoptadas, sin revelar detalles que comprometan la protección:
- Cifrado en tránsito y en reposo
- Control de acceso y autenticación
- Política de retención y descarte seguro
- Monitoreo y respuesta a incidentes
Mencione el canal de comunicación en caso de vulneraciones de seguridad, conforme al Art. 14 sexies de la Ley N° 21.719.
Bloque 11 — Cookies (cuando aplique)
Si el sitio usa cookies, incluya:
- Tipos de cookies (necesarias, analíticas, de marketing, de personalización)
- Finalidad de cada tipo
- Cómo aceptar, rechazar o gestionar las cookies
- Enlace a la política de cookies completa (si es un documento separado)
Bloque 12 — Datos de menores (cuando aplique)
Si el servicio recolecta datos de niños, niñas y adolescentes, la Ley N° 21.719 exige protección reforzada. Informe:
- Si el servicio está dirigido a menores o recolecta sus datos
- Cómo se obtiene el consentimiento (de los padres o representantes legales, cuando corresponda)
- Cómo los padres o tutores pueden ejercer los derechos del menor
Bloque 13 — Actualizaciones de la política
Informe:
- Fecha de la última actualización y número de versión
- Cómo se notificará al titular sobre cambios relevantes (correo, banner en el sitio, notificación en la app)
- Cómo acceder a versiones anteriores
Lenguaje: qué exige la Ley 21.719 sobre claridad
El principio de transparencia de la Ley N° 21.719 impone que las informaciones sean "claras, precisas y de fácil acceso". Esto significa:
- Sin jerga jurídica innecesaria — el titular promedio debe entender
- Frases cortas, párrafos organizados — evite bloques de texto denso
- Sin términos vagos — "podríamos usar sus datos para diversas finalidades" es inválido
- Lenguaje adaptado al público — una política para una app de salud infantil usa un lenguaje diferente al de una plataforma B2B
El enfoque por capas (layered approach) recomendado por autoridades internacionales es una buena práctica aplicable:
- Capa corta: resumen con las informaciones más críticas + enlaces a los detalles
- Capa completa: documento íntegro con todos los elementos
- Avisos contextuales: las informaciones aparecen en el momento exacto en que se recolecta el dato
Cómo publicar la política
La Ley N° 21.719 exige acceso facilitado —la política no puede estar oculta en letra pequeña ni requerir inicio de sesión para ser leída. Buenas prácticas:
- Sitio web: enlace visible en el pie de página de todas las páginas ("Política de Privacidad")
- Aplicaciones: en la pantalla de incorporación, en el menú de configuración y antes de recolectar datos sensibles
- Contratos: referencia expresa con URL o texto completo en anexo
- Formularios: enlace visible junto al campo de consentimiento
- Correos: enlace en el pie de correos de marketing y transaccionales
La política debe estar disponible antes del inicio del tratamiento de los datos, en formato que pueda ser guardado o impreso por el titular.
Cuándo y cómo actualizar
Revise la política al menos en las siguientes situaciones:
- Cambio en la ley o en los reglamentos de la Agencia —nuevas regulaciones pueden exigir actualizaciones
- Cambio en las operaciones —nuevo producto, nueva finalidad, nuevo socio de datos
- Revisión periódica preventiva —se recomienda al menos una vez al año
Para cambios relevantes que involucren nuevas finalidades basadas en consentimiento, informe previamente al titular con posibilidad de revocarlo.
Al actualizar, siempre:
- Incluya la nueva fecha y número de versión
- Publique las versiones anteriores en un repositorio accesible
- Comunique a los titulares por correo o notificación en la app
Errores que comprometen la política de privacidad
| Error | Consecuencia |
|---|---|
| Política genérica copiada de otro sitio | No refleja las operaciones reales; puede ser inválida |
| Finalidades vagas ("mejorar servicios") | Viola el principio de finalidad |
| Sin base de licitud para cada finalidad | Tratamiento sin fundamento jurídico |
| No mencionar todos los derechos del titular | Violación al principio de transparencia |
| No publicar contacto del Delegado (cuando corresponde) | Incumplimiento del deber de información |
| No mencionar transferencias internacionales | Violación al principio de transparencia |
| Política desactualizada (más de 2 años sin revisión) | Disconformidad con regulaciones más recientes |
| Requerir inicio de sesión para acceder a la política | Viola el principio de acceso facilitado |
| Casillas pre-marcadas para el consentimiento | Consentimiento inválido (debe ser inequívoco y verificable) |
Conclusión
Una política de privacidad bien construida no es solo un requisito legal —es un instrumento de transparencia que demuestra respeto por el titular y señala madurez en protección de datos. La Agencia de Protección de Datos Personales tendrá facultades sancionatorias desde diciembre de 2026, y los titulares están cada vez más atentos a sus derechos.
Siga la estructura de los 13 bloques, use lenguaje claro, actualice con regularidad y publique de forma accesible. La inversión es pequeña; el riesgo de no hacerlo es grande.
Confidata ofrece un módulo de gestión de documentación que centraliza su política de privacidad, controla versiones y vincula automáticamente las actividades de tratamiento con sus respectivas bases de licitud y finalidades.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.