Cómo implementar la Ley 21.719 en su empresa: guía completa paso a paso
La Ley 21.719 — que reforma la Ley 19.628 sobre Protección de la Vida Privada en Chile, publicada el 13 de diciembre de 2024 y con vigencia a partir del 1° de diciembre de 2026 — introduce obligaciones sustantivas para todas las organizaciones que tratan datos personales en el país.
El período de transición termina. Las organizaciones que comiencen hoy tendrán tiempo para construir un programa sólido. Las que esperen hasta noviembre de 2026 correrán con desventaja — y quienes corren cometen más errores y producen más evidencias desfavorables.
Esta guía presenta los 9 pasos fundamentales para implementar la Ley 21.719 de forma consistente, independientemente del tamaño o sector de su organización.
Atención: Implementar la Ley 21.719 no es un proyecto con fecha de término. Es un programa continuo de gobernanza de privacidad. Los pasos a continuación construyen la fundación; el mantenimiento es permanente.
Paso 1: Entienda su rol — responsable o encargado del tratamiento
Antes de cualquier acción, su organización necesita entender qué rol desempeña en las relaciones de tratamiento de datos.
La Ley 21.719 define dos agentes principales:
- Responsable del tratamiento: la persona natural o jurídica que toma las decisiones sobre el tratamiento — qué datos recopilar, para qué finalidad, por cuánto tiempo conservarlos. Es el responsable primario ante la Ley 21.719 y la Agencia de Protección de Datos Personales.
- Encargado del tratamiento: la persona natural o jurídica que realiza el tratamiento por cuenta del responsable — por ejemplo, una empresa de nube, un sistema de nóminas tercerizado, una agencia de marketing digital. El encargado solo puede tratar datos conforme a las instrucciones del responsable.
En la práctica, la mayoría de las empresas es responsable de los datos de sus clientes, colaboradores y proveedores — y al mismo tiempo encargada cuando presta servicios de tecnología, outsourcing o consultoría para otras organizaciones.
¿Por qué importa? Las obligaciones y responsabilidades difieren. El responsable es quien responde ante la Agencia en caso de infracción. El encargado responde solidariamente cuando incumple las instrucciones del responsable o la propia Ley 21.719.
Paso 2: Mapee todas las actividades de tratamiento (RAT)
El inventario de datos personales — también llamado RAT (Registro de Actividades de Tratamiento) — es la columna vertebral de cualquier programa de cumplimiento.
La Ley 21.719 exige que los responsables y encargados mantengan un registro de las operaciones de tratamiento, que la organización debe tener disponible para la Agencia cuando sea requerido.
Para cada actividad de tratamiento, registre:
| Campo | Qué documentar |
|---|---|
| Nombre de la actividad | Ej.: "Registro de contactos para marketing" |
| Departamento responsable | Marketing, RR.HH., Finanzas... |
| Finalidad | ¿Por qué se tratan los datos? |
| Base de licitud | ¿Cuál de las bases de la Ley 21.719? |
| Categorías de datos | Nombre, email, RUT, datos de salud... |
| ¿Datos sensibles? | Sí/No |
| Categorías de titulares | Clientes, colaboradores, proveedores... |
| Comunicación a terceros | ¿Con quién se comunican los datos? |
| ¿Transferencia internacional? | ¿Los datos salen de Chile? |
| Período de conservación | ¿Por cuánto tiempo se conservan los datos? |
| Medidas de seguridad | Cifrado, control de acceso, respaldo... |
Paso 3: Identifique y documente las bases de licitud
Para cada actividad mapeada en el Paso 2, es obligatorio identificar la base de licitud que autoriza el tratamiento. La Ley 21.719 establece 7 bases:
| # | Base de licitud | Cuándo usar |
|---|---|---|
| 1 | Consentimiento | Cuando ninguna otra base aplica; requiere manifestación libre, informada, específica e inequívoca |
| 2 | Ejecución de contrato | Para cumplir un contrato con el propio titular |
| 3 | Obligación legal | Cuando una ley o norma obliga al tratamiento — ej.: conservar datos de colaboradores por obligación laboral/tributaria |
| 4 | Interés vital | Cuando el tratamiento sea necesario para proteger la vida o integridad física del titular u otra persona |
| 5 | Interés público o ejercicio de potestades públicas | Principalmente para organismos públicos |
| 6 | Interés legítimo del responsable | Finalidades legítimas del responsable, siempre que no prevalezcan los derechos del titular (requiere evaluación de ponderación) |
| 7 | Datos relativos a obligaciones económicas | Para tratamiento de datos de solvencia comercial y crédito (Título III Ley 21.719) |
Para datos sensibles, las bases de licitud son más restrictivas — se requiere consentimiento específico y destacado, salvo excepciones expresas de la Ley 21.719.
Error común a evitar
Muchas organizaciones eligen el consentimiento como base de licitud para todas las actividades, por ser la más conocida. Esto es un error estratégico: el consentimiento puede ser revocado en cualquier momento por el titular, lo que puede paralizar operaciones enteras. Use el consentimiento solo cuando ninguna otra base aplique.
Paso 4: Designe el Delegado de Protección de Datos
La Ley 21.719 establece la figura del Delegado de Protección de Datos — equivalente al DPO (Data Protection Officer) del GDPR europeo.
¿Quién debe designar un Delegado?
Es obligatorio para:
- Organismos públicos
- Responsables o encargados cuyo giro principal sea el tratamiento masivo de datos sensibles
- Quienes realicen monitoreo sistemático a gran escala de los titulares
Es voluntario pero recomendado para las demás organizaciones — ya que la existencia del Delegado es un elemento del Modelo de Prevención de Infracciones, lo que puede atenuar sanciones.
Funciones del Delegado
- Supervisar el cumplimiento de la Ley 21.719 dentro de la organización
- Orientar a colaboradores y directivos sobre protección de datos
- Actuar como enlace con la Agencia de Protección de Datos Personales
- Asesorar en la elaboración de EIPDs para tratamientos de alto riesgo
- Atender solicitudes ARCO+ de los titulares
Divulgación obligatoria
Cuando el Delegado haya sido designado, su información de contacto debe estar publicada de forma clara y accesible en el sitio web de la organización.
Paso 5: Elabore la documentación obligatoria
Un programa completo de cumplimiento requiere una serie de documentos. Los más críticos:
Política de Privacidad (Aviso de Privacidad)
Documento público que informa a los titulares sobre:
- Qué datos se recopilan y para qué
- Bases de licitud utilizadas
- Período de conservación
- Con quién se comunican los datos
- Derechos ARCO+ de los titulares y cómo ejercerlos
- Contacto del Delegado de Protección de Datos
EIPD — Evaluación de Impacto en la Protección de Datos Personales
Para tratamientos de alto riesgo, la Ley 21.719 exige elaborar la EIPD. Este documento debe describir: la naturaleza de los datos, los métodos de recopilación, las finalidades, las medidas de seguridad y los riesgos identificados, con las mitigaciones propuestas.
Contratos con Encargados de Tratamiento
Todo contrato con proveedores que traten datos personales en su nombre debe incluir cláusulas de protección de datos. Deben especificar:
- Finalidad y alcance del tratamiento
- Obligaciones de seguridad
- Responsabilidades en caso de incidente
- Plazo y condiciones de devolución/eliminación de los datos
Paso 6: Implemente medidas de seguridad adecuadas
La Ley 21.719 exige que los responsables y encargados adopten medidas técnicas y organizacionales para proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión.
Medidas técnicas esenciales
- Cifrado en tránsito y en reposo — los datos personales deben estar cifrados tanto cuando circulan por la red como cuando están almacenados
- Control de acceso granular — principio del mínimo privilegio: cada usuario accede solo a lo que necesita para su función
- Autenticación multifactor (MFA) — especialmente para sistemas que contienen datos sensibles
- Log y auditoría — registro de quién accedió, modificó o eliminó datos personales
- Respaldo y recuperación — procedimientos documentados de backup con pruebas periódicas de restauración
- Gestión de vulnerabilidades — procesos de parcheo y pruebas de penetración regulares
Medidas organizacionales esenciales
- Capacitación de colaboradores en protección de datos (ver Paso 7)
- Procedimientos de respuesta a incidentes (ver Paso 8)
- Política de seguridad de la información
- Política de conservación y eliminación de datos
- Control de acceso físico a archivos con datos personales
Paso 7: Capacite a sus colaboradores
Los datos personales son tratados por personas. Una organización puede tener los mejores controles técnicos y aun así sufrir un incidente por descuido humano — un email enviado al destinatario equivocado, un archivo compartido sin contraseña, un clic en phishing.
Elementos de un programa de capacitación eficaz
- Capacitación introductoria — para todos los nuevos colaboradores en el onboarding
- Capacitación por función — para áreas con mayor riesgo (RR.HH., Marketing, Atención al Cliente, TI)
- Reciclaje anual — actualización sobre cambios regulatorios e incidentes recientes
- Simulaciones de phishing — pruebas periódicas de concientización
- Comunicación continua — alertas internas, newsletters, campañas de awareness
La capacitación debe ser documentada. En caso de fiscalización de la Agencia, la adopción de un Modelo de Prevención de Infracciones (Título VIII Ley 21.719) es un factor que puede atenuar las sanciones.
Paso 8: Cree un canal de atención a los titulares
La Ley 21.719 garantiza a los titulares los derechos ARCO+. Su organización debe tener un canal oficial para recibir y responder estas solicitudes:
| Derecho ARCO+ | Qué puede pedir el titular |
|---|---|
| Acceso | Saber qué datos son tratados y obtener copia (Art. 5) |
| Rectificación | Actualización de datos incompletos/incorrectos (Art. 6) |
| Cancelación/Supresión | Eliminación de datos (Art. 7) |
| Oposición | Oponerse al tratamiento en ciertas circunstancias (Art. 8) |
| Portabilidad | Recibir los datos en formato estructurado e interoperable (Art. 9) |
| Bloqueo | Suspensión temporal del tratamiento (Art. 8 ter) |
| Decisiones automatizadas | Impugnar decisiones basadas únicamente en tratamiento automatizado (Art. 8 bis) |
Plazo de respuesta
La Ley 21.719 establece un plazo máximo de 30 días desde la recepción de la solicitud para dar respuesta. Si no es posible responder en ese plazo por la complejidad del requerimiento, el responsable debe informar al titular el motivo y el plazo adicional razonable que utilizará.
Paso 9: Elabore un plan de respuesta a incidentes
La Ley 21.719 (Art. 34 bis) exige que el responsable comunique a la Agencia de Protección de Datos Personales y a los titulares afectados la ocurrencia de un incidente de seguridad que pueda acarrear riesgo o daño relevante.
Plazo de notificación: 72 horas desde que el responsable toma conocimiento del incidente (para la notificación a la Agencia).
Estructura básica del plan de respuesta
Fase 1 — Detección y triaje
- Identificar el incidente y clasificar su gravedad
- Aislar los sistemas comprometidos para evitar propagación
- Activar al Delegado de Protección de Datos y al equipo de crisis
Fase 2 — Contención e investigación
- Contener el incidente (bloquear accesos, cambiar credenciales)
- Investigar la causa raíz y el alcance (qué datos afectados, cuántos titulares)
- Documentar todas las acciones y descubrimientos
Fase 3 — Notificación
- Evaluar si el incidente requiere comunicación a la Agencia (Art. 34 bis)
- Notificar a la Agencia dentro de 72 horas
- Comunicar a los titulares afectados cuando involucre datos sensibles, de menores o financieros
Fase 4 — Remediación y aprendizaje
- Corregir las vulnerabilidades explotadas
- Revisar controles preventivos
- Documentar lecciones aprendidas y actualizar el plan
Cómo mantener el programa funcionando
Implementar la Ley 21.719 no es un proyecto con inicio y fin. Es un programa de gobernanza continua que necesita:
Revisión periódica
- Revisión del RAT: cada 6-12 meses y siempre que se creen nuevos procesos
- Revisión de contratos: al renovar o contratar nuevos proveedores
- Revisión de la política de privacidad: cuando haya cambios en las prácticas de tratamiento
Indicadores de madurez para monitorear
- % de actividades de tratamiento con base de licitud documentada
- Tiempo promedio de respuesta a solicitudes ARCO+
- Número de incidentes por trimestre
- % de colaboradores capacitados en protección de datos
- Número de contratos con cláusulas de encargado de tratamiento vigentes
Errores comunes a evitar
| Error | Consecuencia | Solución |
|---|---|---|
| Usar consentimiento como única base | Paralización operacional si se revoca | Identificar la base de licitud más adecuada para cada actividad |
| No documentar el RAT | Incapacidad de responder a la Agencia | Mantener el RAT actualizado |
| Delegado sin recursos ni autonomía | Programa ineficaz | Garantizar posición y presupuesto adecuados |
| Ignorar proveedores (encargados) | Responsabilidad solidaria | Contratos con cláusulas de protección de datos |
| Tratar la Ley 21.719 como proyecto único | Desactualización rápida | Programa continuo con revisiones periódicas |
| Planilla para grandes volúmenes | Pérdida de control y trazabilidad | Sistema dedicado de gestión de privacidad |
Conclusión
Implementar la Ley 21.719 es un proceso que exige planificación, multidisciplinariedad y compromiso organizacional. Los 9 pasos descritos en esta guía cubren los requisitos esenciales de la ley — pero la profundidad y velocidad de implementación dependen del tamaño, el sector y el perfil de riesgo de cada organización.
El punto de partida más importante es el RAT (inventario de datos): no se puede proteger lo que no se conoce. Comience por ahí.
Confidata es una plataforma de gestión de privacidad y protección de datos desarrollada para organizar, automatizar y escalar su programa bajo la Ley 21.719 — del inventario al monitoreo de incidentes. Conozca cómo podemos acelerar su cumplimiento.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.