Cómo documentar evidencias de conformidad con la Ley 21.719 para la APDP
El principio de responsabilidad proactiva es uno de los pilares fundamentales de la Ley N° 21.719 de Protección de Datos Personales de Chile. Es un principio activo, no pasivo: no basta con ser conforme, es necesario demostrar la conformidad. Y demostrar, en el contexto de una fiscalización de la Agencia de Protección de Datos Personales (APDP), significa contar con documentación organizada, actualizada y lista para ser presentada.
La Ley 21.719, publicada el 13 de diciembre de 2024 y con plena vigencia desde diciembre de 2026, crea por primera vez en Chile una autoridad de protección de datos con facultades sancionatorias reales. La APDP podrá iniciar procedimientos administrativos, requerir documentos y aplicar multas de hasta 20.000 UTM. Las organizaciones que lleguen a esa instancia sin documentación adecuada se encontrarán en una posición de doble desventaja: el problema original y la ausencia de evidencias de que tenían las estructuras adecuadas.
Este guía presenta lo que la APDP requerirá, cómo organizar las evidencias en cinco grupos documentales y cómo esta inversión reduce sanciones cuando algo salga mal.
Lo que la APDP requerirá en fiscalizaciones
Aunque la APDP comienza sus operaciones en diciembre de 2026, la Ley 21.719 ya establece con claridad qué documentos deberán estar disponibles. El patrón de la experiencia regulatoria internacional —especialmente de la Autoridad Española de Protección de Datos (AEPD) y de la ANPD de Brasil— anticipa cuáles serán los focos de fiscalización.
Documentos que la APDP solicitará — basado en la Ley 21.719 y experiencia comparada
Patrón internacional identificado: Las autoridades de protección de datos solicitan consistentemente en todos los procesos administrativos los siguientes documentos:
- Acto formal de designación del Delegado de Protección de Datos (DPD)
- Registro de Actividades de Tratamiento (RAT) — Ley 21.719
- Evaluación de Impacto en la Protección de Datos (EIPD) para tratamientos de alto riesgo
- Registros de notificación de incidentes de seguridad
- Medidas técnicas de seguridad implementadas y documentadas
Lección clave del derecho comparado: Las organizaciones sancionadas raramente fueron sorprendidas en una violación flagrante. Con mayor frecuencia, fueron penalizadas por no poder demostrar que tenían las estructuras adecuadas. El problema no era solo lo que hacían — era lo que no podían acreditar.
Por qué la carga de la prueba recae sobre el responsable
El principio de responsabilidad proactiva de la Ley 21.719 no solo exige que el responsable del tratamiento sea responsable — exige que demuestre esa responsabilidad. En la práctica de los procedimientos administrativos de la APDP, el responsable que no presente documentación adecuada asume la carga de probar la conformidad sin evidencias.
La Ley 21.719 es explícita respecto al consentimiento: el responsable deberá poder acreditar que el consentimiento fue obtenido válidamente. Este mismo principio, por la lógica de la responsabilidad proactiva, se extiende a las demás bases de licitud y a las medidas de seguridad.
En términos prácticos: la APDP no necesita probar que usted no estaba en conformidad — usted necesita probar que estaba.
Cómo la documentación reduce sanciones: la dosimetría de la Ley 21.719
La Ley 21.719 establece un sistema de sanciones de tres niveles con atenuantes expresas que el responsable puede invocar a su favor:
| Circunstancia atenuante | Efecto |
|---|---|
| Implementación acreditada de programa de gobernanza en privacidad | Reducción significativa |
| Adopción de mecanismos internos para minimizar el daño (acreditada) | Reducción significativa |
| Reversión del daño o mitigación antes de la decisión | Considera como circunstancia atenuante |
| Cooperación y buena fe demostradas con la APDP | Considera como circunstancia atenuante |
| Autoreporte voluntario de la infracción | Considera como circunstancia atenuante |
La palabra clave es "acreditada": las atenuantes solo se aplican cuando el responsable presenta evidencias documentales de que los mecanismos existen y están en funcionamiento — no son suficientes alegaciones verbales ni políticas que nunca fueron implementadas.
La escala de multas de la Ley 21.719 es:
| Infracción | Multa máxima |
|---|---|
| Leve | 5.000 UTM |
| Grave | 10.000 UTM (o 2% de los ingresos anuales del grupo económico en Chile, lo que sea mayor) |
| Gravísima | 20.000 UTM (o 4% de los ingresos anuales del grupo económico en Chile, lo que sea mayor) |
Un Programa de Gobernanza de Privacidad (PGP) bien documentado es el argumento de defensa más sólido en cualquier procedimiento administrativo ante la APDP.
Los 5 grupos documentales del dossier de conformidad
Organice las evidencias de conformidad con la Ley 21.719 en cinco grupos temáticos, con control de versión y trazabilidad de auditoría:
Grupo 1 — Políticas y Gobernanza
Documentos que demuestran que la protección de datos está institucionalizada como política corporativa:
| Documento | Contenido | Frecuencia de revisión |
|---|---|---|
| Política de Privacidad (externa) | Aviso público a los titulares | Al menos anual o ante cambios relevantes |
| Política de Seguridad de la Información | Controles técnicos y organizacionales | Al menos anual |
| Política Interna de Protección de Datos | Procedimientos para colaboradores, sanciones internas | Al menos anual |
| Política de Retención y Eliminación de Datos | Ciclo de vida de los datos por categoría y plazo legal | Al menos anual |
| Política de Respuesta a Incidentes | Flujo de detección, contención, notificación y post-incidente | Al menos anual o tras un incidente |
| Programa de Gobernanza en Privacidad (PGP) | Documento maestro del programa de conformidad | Al menos anual |
Evidencia crítica: Cada política debe tener fecha de aprobación, número de versión y firma del responsable que la aprobó. Las versiones anteriores deben estar archivadas con la fecha de vigencia de cada una.
Grupo 2 — Inventario y Mapeo de Datos
Documentos que demuestran que la organización conoce lo que trata y con qué fundamento:
| Documento | Base legal | Frecuencia de actualización |
|---|---|---|
| RAT — Registro de Actividades de Tratamiento | Ley 21.719 | Continua (ante cada nuevo tratamiento o cambio relevante) |
| Inventario de datos (mapeo detallado) | Principio de minimización — Ley 21.719 | Ante cada nuevo sistema o proceso |
| Data Flow Maps — diagramas de flujo de datos | Soporte al RAT | Ante cada nuevo sistema o proceso |
| Registro de bases de licitud por actividad | Ley 21.719 | Ante cambios de base de licitud |
| Mapeo de transferencias internacionales | Ley 21.719 — mecanismos de transferencia | Ante cada nuevo proveedor internacional |
Evidencia crítica: El RAT debe mostrar la fecha de última actualización y quién la realizó. Un RAT con fecha de creación de años atrás sin ninguna actualización posterior es evidencia negativa — demuestra que el documento existe pero no está gestionado.
Grupo 3 — Actividades del Delegado de Protección de Datos (DPD)
Documentos que demuestran la función activa del DPD como eje del programa de conformidad:
| Documento | Base legal |
|---|---|
| Acto formal de designación del DPD | Ley 21.719 |
| Publicación del contacto del DPD en el sitio web | Ley 21.719 |
| Registro de solicitudes de titulares (ejercicio de derechos) | Ley 21.719 |
| Registros de comunicación con la APDP | Ley 21.719 |
| Actas de reuniones del Comité de Privacidad | Buena práctica |
| Registros de capacitaciones conducidas | Ley 21.719 |
| Registros de orientaciones emitidas a colaboradores | Ley 21.719 |
Evidencia crítica: La Ley 21.719 exige que el acto de designación del DPD sea formal y esté disponible para ser presentado ante la APDP cuando sea solicitado. La designación retroactiva — es decir, nombrar al DPD después de iniciado un proceso sancionatorio — no es aceptada como evidencia de conformidad. Esto está ampliamente documentado en la experiencia internacional: la AEPD (España) y la ANPD (Brasil) rechazaron en múltiples ocasiones designaciones tardías como circunstancia atenuante.
Grupo 4 — Evaluaciones de Impacto y Seguridad
Documentos que demuestran que la organización evalúa riesgos antes de iniciar tratamientos de alto riesgo:
| Documento | Base legal |
|---|---|
| EIPDs elaboradas (una por tratamiento de alto riesgo) | Ley 21.719 |
| Análisis de riesgo de privacidad (sin alcanzar el umbral de EIPD) | Buenas prácticas |
| Informes de pruebas de penetración (pentest) y análisis de vulnerabilidades | Ley 21.719 — medidas de seguridad |
| Evidencias de cifrado y seudonimización implementados | Ley 21.719 — seguridad técnica |
| Plan de continuidad del negocio — aspectos de privacidad | Ley 21.719 — seguridad organizacional |
Evidencia crítica: La experiencia comparada demuestra que las autoridades sancionan específicamente la omisión de elaborar la EIPD cuando fue solicitada o cuando el tratamiento claramente la requería. La EIPD no necesita ser enviada proactivamente a la APDP — pero debe existir y estar accesible para su presentación inmediata cuando sea solicitada.
Grupo 5 — Registros Operacionales
Documentos que demuestran que el programa de conformidad funciona en la práctica, no solo en el papel:
| Documento | Contenido | Frecuencia |
|---|---|---|
| Registro completo de solicitudes de titulares | Fecha, canal, tipo de derecho, respuesta, plazo | Continuo |
| Registros de capacitaciones de equipos | Lista de asistencia, contenido, fecha, responsable | Por capacitación |
| Registro de incidentes de seguridad (todos, no solo los comunicados) | Detección, clasificación, acciones, comunicación | Por incidente |
| Comunicaciones de incidentes a la APDP | Notificación dentro de 72 horas (plazo legal) + seguimiento | Por incidente comunicable |
| Contratos de encargo de tratamiento con operadores | Contratos con proveedores que tratan datos en su nombre | Por operador |
| Resultados de due diligence de proveedores | Evaluación de privacidad antes de contratar | Por proveedor con acceso a datos personales |
| Revisiones periódicas del RAT | Informe de revisión anual con fecha y responsable | Al menos anual |
Evidencia crítica: El registro de solicitudes de titulares es la evidencia operacional más frecuentemente requerida. Debe contener, para cada solicitud: fecha de recepción, tipo de derecho ejercido, verificación de identidad realizada, respuesta entregada, fecha de respuesta y — en caso de denegación — fundamentación documentada.
Cómo organizar el repositorio de evidencias
Estructura de carpetas recomendada
📁 Dossier de Conformidad Ley 21.719/
├── 📁 01_Gobernanza/
│ ├── Política de Privacidad — v3.2 (15/11/2025).pdf
│ ├── Política de Privacidad — HISTÓRICO/
│ │ ├── v3.1 (01/03/2025).pdf
│ │ └── v3.0 (15/08/2024).pdf
│ └── PGP — Programa de Gobernanza en Privacidad (2026).pdf
├── 📁 02_Inventario/
│ ├── RAT — actualización 12/2025.xlsx
│ └── RAT — HISTÓRICO/
├── 📁 03_Delegado/
│ ├── Designación formal DPD — Resolución Exenta n° 15/2024.pdf
│ ├── Registro_Solicitudes_Titulares_2025.xlsx
│ └── Actas_Comite_Privacidad/
├── 📁 04_Evaluaciones_Impacto/
│ ├── EIPD_Reconocimiento_Facial_Acceso.pdf
│ └── EIPD_Scoring_Credito.pdf
└── 📁 05_Registros_Operacionales/
├── Registro_Incidentes_2025.xlsx
├── Contratos_Encargo_Tratamiento/
└── Capacitaciones_Equipo/
Control de versión obligatorio
Para cada documento, registre:
- Fecha de creación
- Fecha de última actualización y responsable de la actualización
- Fecha de próxima revisión prevista
- Historial de versiones archivado y accesible
Acceso controlado y trazabilidad de auditoría
El repositorio de evidencias debe tener:
- Acceso restringido al DPD y responsables de privacidad (no "todos acceden")
- Registro de acceso al repositorio (quién consultó, cuándo)
- Respaldo en ubicación separada del sistema principal
Cuánto tiempo conservar las evidencias
La Ley 21.719 no establece un plazo único de retención para documentos de conformidad. Las mejores prácticas del mercado, ancladas en los plazos de prescripción del Código Civil chileno (Art. 2515 — prescripción ordinaria: 5 años), recomiendan:
| Tipo de documento | Plazo de conservación recomendado |
|---|---|
| RAT y mapeos | Mientras exista el tratamiento + 5 años |
| Contratos de encargo de tratamiento | Vigencia del contrato + 5 años |
| Registros de incidentes y comunicaciones a la APDP | Indefinido (documentación regulatoria) |
| Registro de solicitudes de titulares | 5 años |
| Registros de capacitaciones | Mientras el colaborador esté activo + 5 años |
| EIPDs | Mientras exista el tratamiento de alto riesgo + 5 años |
| Políticas (versiones anteriores) | 5 años tras su sustitución |
Para las comunicaciones a la APDP, el plazo de conservación debe ser permanente, pues se trata de documentación en proceso regulatorio que puede ser retomada.
Lo que no se documenta, no cuenta
Cuatro situaciones frecuentes donde la falta de evidencia agrava la posición del responsable:
1. Capacitación realizada sin registro: El colaborador fue capacitado, pero no hay lista de asistencia, certificado ni fecha documentada. Para la APDP, la capacitación no ocurrió.
2. Revisión del RAT realizada informalmente: El equipo discutió el RAT en una reunión pero no generó acta ni informe de revisión. El RAT aparece desactualizado en la documentación.
3. EIPD elaborada pero sin versionar: La EIPD fue elaborada pero sin número de versión ni fecha de aprobación del DPD. En un proceso, no hay forma de demostrar cuándo fue elaborada ni si precede al incidente investigado.
4. Comunicación de incidente a la APDP sin copia archivada: La comunicación fue enviada, pero no hay registro interno con fecha de envío y contenido. Si la APDP cuestiona el plazo, la organización no puede acreditar el cumplimiento.
Checklist del dossier de conformidad
Grupo 1 — Políticas y Gobernanza
- ¿Política de Privacidad publicada y actualizada (con fecha y versión)?
- ¿Política Interna de Protección de Datos aprobada por la dirección?
- ¿PGP (Programa de Gobernanza en Privacidad) formalizado?
- ¿Versiones anteriores de las políticas archivadas con fecha de vigencia?
Grupo 2 — Inventario y Mapeo
- ¿RAT completo, actualizado y con historial de revisiones?
- ¿Bases de licitud documentadas por actividad de tratamiento?
- ¿Transferencias internacionales mapeadas con salvaguardas documentadas?
Grupo 3 — Delegado (DPD)
- ¿Acto formal de designación del DPD existente y archivado?
- ¿Contacto del DPD publicado en lugar destacado en el sitio web?
- ¿Registro de solicitudes de titulares con todos los campos necesarios?
- ¿Actas de reuniones del Comité de Privacidad archivadas?
Grupo 4 — Evaluaciones de Impacto
- ¿EIPD elaborada para todos los tratamientos de alto riesgo identificados?
- ¿Pronunciamiento formal del DPD sobre cada EIPD documentado?
- ¿Informes de pentest y análisis de vulnerabilidades archivados?
Grupo 5 — Registros Operacionales
- ¿Registros de todos los incidentes (no solo los comunicados a la APDP)?
- ¿Copia de las comunicaciones de incidentes a la APDP con fecha y seguimiento?
- ¿Contratos de encargo de tratamiento firmados con todos los proveedores que acceden a datos personales?
- ¿Registros de capacitaciones con lista de asistencia y fecha?
- ¿Informe de revisión anual del RAT documentado?
Organización
- ¿Repositorio centralizado con acceso controlado?
- ¿Control de versión con historial de cada documento?
- ¿Respaldo en ubicación separada del sistema principal?
- ¿El DPD sabe dónde están todas las evidencias y puede presentarlas en menos de 24 horas?
Conclusión
El dossier de conformidad con la Ley 21.719 no es un archivo para guardar en un cajón. Es la demostración material de que el programa de privacidad existe, funciona y evoluciona — lo que la ley denomina responsabilidad proactiva. Las organizaciones con documentación bien organizada tienen dos ventajas concretas: están en una posición de defensa mucho más sólida ante la APDP y califican para las circunstancias atenuantes que pueden reducir significativamente las sanciones.
El principio es simple: documente hoy lo que no podrá recrear después de una notificación. La evidencia que protege es la que existe antes del problema, no la que se intenta reunir apresuradamente después de que llegue la fiscalización.
El momento de prepararse es ahora: la APDP comienza sus operaciones en diciembre de 2026, y las organizaciones con programas de conformidad documentados llegarán a esa fecha en posición de ventaja.
Confidata centraliza todos los documentos y evidencias de su programa de conformidad con la Ley 21.719 en un repositorio integrado con control de versión automático, trazabilidad de auditoría y alertas de plazo de revisión — listo para presentar ante la APDP cuando sea necesario.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.