Los documentos obligatorios que todo programa de protección de datos necesita bajo la Ley 21.719
El cumplimiento con la Ley 21.719 no es solo un estado — es una prueba. La Agencia de Protección de Datos Personales (APDP) no aceptará afirmaciones de cumplimiento como evidencia. Aceptará documentación.
El principio de responsabilidad activa que subyace a la Ley 21.719 exige que el responsable de datos demuestre proactivamente la adopción de medidas eficaces. En una investigación de la APDP, en un proceso judicial o en una due diligence comercial, lo que cuenta es lo que está registrado — no lo que se hizo sin registro.
Esta guía presenta los documentos que componen un programa de cumplimiento completo bajo la Ley 21.719, organizados por su obligatoriedad jurídica.
Grupo 1: Exigidos directamente por la Ley 21.719
Estos documentos tienen base legal expresa. Su ausencia configura incumplimiento directo de la norma.
1. Registro de Actividades de Tratamiento — RAT
El documento central de cualquier programa de protección de datos: el mapeo sistemático de qué se trata, para qué, con qué base legal, por cuánto tiempo y quién tiene acceso.
Qué debe contener:
- Nombre y datos de contacto del responsable del tratamiento y del DPD
- Finalidades específicas y legítimas de cada actividad de tratamiento
- Descripción de las categorías de titulares y de datos personales (incluyendo si hay datos sensibles)
- Identificación de los encargados (proveedores) y sus datos de contacto
- Plazos de retención y criterios para determinarlos
- Categorías de destinatarios (internos y externos)
- Transferencias internacionales, cuando corresponda
- Medidas de seguridad técnicas y organizativas aplicadas
Frecuencia de actualización: Continua — debe reflejar las actividades reales en todo momento.
2. Evaluación de Impacto en la Protección de Datos — EIPD
Obligatoria para actividades de tratamiento que puedan generar riesgos altos para los derechos y libertades de los titulares. El artículo 15 ter de la Ley 21.719 determina su elaboración y prevé que la APDP puede exigir su presentación.
Cuándo es obligatoria:
- Evaluación sistemática y exhaustiva basada en tratamiento automatizado o perfilamiento
- Tratamiento masivo o a gran escala de datos personales
- Monitoreo sistemático de espacios de acceso público
- Tratamiento de datos sensibles con dispensa de consentimiento
- Cualquier tratamiento con alto riesgo potencial para los derechos de los titulares
Qué debe contener:
- Descripción del tratamiento y su finalidad
- Proporcionalidad y necesidad del tratamiento en relación a la finalidad
- Evaluación de los riesgos identificados (probabilidad × impacto)
- Medidas mitigadoras propuestas para cada riesgo
- Evaluación residual tras las medidas
Consulta previa a la APDP: Si la EIPD identifica riesgos altos que no pueden mitigarse adecuadamente, el responsable debe consultar previamente a la APDP antes de iniciar el tratamiento.
3. Aviso de Privacidad y Política de Privacidad
La Ley 21.719 garantiza al titular el derecho de información, exigiendo que el responsable proporcione información clara y adecuada sobre el tratamiento. El Aviso de Privacidad (comunicado externo a los titulares) y la Política de Privacidad (documento completo y detallado) son los instrumentos que materializan esta obligación.
Qué debe contener:
- Finalidad específica del tratamiento
- Identidad y datos de contacto del responsable y del DPD
- Bases legales utilizadas para cada finalidad
- Categorías de datos tratados
- Información sobre el intercambio de datos
- Derechos de los titulares y cómo ejercerlos
- Período de retención de los datos
- Transferencias internacionales, cuando corresponda
4. Acto de Designación del Delegado de Protección de Datos — DPD
La Ley 21.719 exige la designación de un DPD para el sector público y para empresas cuya actividad principal involucre tratamiento masivo de datos sensibles o monitoreo sistemático de titulares. La designación debe ser formal y documentada.
Qué debe contener:
- Identificación del DPD (nombre o, si es externo, identificación de la persona jurídica)
- Facultades y atribuciones conferidas
- Datos de contacto que serán divulgados públicamente
- Garantías de independencia funcional
- Fecha de inicio de la vigencia
Los datos de contacto del DPD deben ser publicados en el sitio web de la organización y en el aviso de privacidad.
5. Registros de Consentimiento
Cuando el tratamiento se basa en el consentimiento del titular, la organización debe ser capaz de demostrar cuándo, cómo, por quién y para qué fue recolectado. La carga de la prueba recae sobre el responsable.
Qué debe contener (por titular y por finalidad):
- Fecha y hora de la recolección del consentimiento
- Versión del aviso de privacidad vigente al momento
- Canal y método de recolección (formulario digital, papel, grabación)
- Finalidad(es) autorizadas
- Historial de modificaciones y revocaciones
6. Contratos con Encargados del Tratamiento
Cuando el responsable encarga a un tercero el tratamiento de datos personales, esta relación debe quedar regulada mediante instrucciones documentadas. Es obligatorio para todo proveedor que trate datos personales en nombre de la organización.
Qué debe contener:
- Descripción de los datos tratados y de las actividades realizadas
- Finalidad e instrucciones del responsable al encargado
- Obligaciones de seguridad y confidencialidad
- Condiciones para la subcontratación
- Procedimientos en caso de incidente
- Obligaciones al término del contrato (devolución o eliminación de los datos)
- Derecho de auditoría del responsable sobre el encargado
7. Registros de Incidentes de Seguridad
La Ley 21.719 exige la comunicación de incidentes que puedan representar riesgo razonable para los derechos de los titulares (Art. 14 sexies). Para demostrar que la organización evaluó correctamente qué incidentes requirieron comunicación — y por qué —, el registro sistemático de todos los incidentes es imprescindible, incluyendo los que no alcanzaron el umbral de notificación obligatoria.
Qué debe contener:
- Fecha y hora del descubrimiento del incidente
- Descripción del incidente (naturaleza, sistemas afectados, datos comprometidos)
- Categorías y volumen estimado de titulares afectados
- Medidas inmediatas adoptadas
- Conclusión sobre necesidad de comunicación a la APDP y a los titulares
- Resultado de la investigación de causa raíz
8. Comunicaciones a la APDP y a los Titulares
Cuando el incidente alcanza el umbral de comunicación obligatoria, las notificaciones enviadas a la APDP y a los titulares se convierten en documentos del programa de cumplimiento. El Art. 14 sexies de la Ley 21.719 establece el plazo de 72 horas para la notificación a la APDP.
Qué archivar:
- Copia de todas las comunicaciones enviadas a la APDP
- Copia de las comunicaciones a los titulares afectados (o justificación para comunicación colectiva)
- Evidencia de la fecha y hora de envío de cada comunicación
Grupo 2: Necesarios para la responsabilidad activa
El principio de responsabilidad activa exige que el responsable demuestre proactivamente el cumplimiento. Estos documentos son esenciales para esa demostración, aunque la ley no los mencione nominalmente.
9. Política de Seguridad de la Información
El Art. 14 quinquies de la Ley 21.719 exige medidas técnicas y organizativas apropiadas para proteger los datos personales. La ausencia de una política de seguridad documentada es un agravante implícito en la determinación de sanciones.
Qué debe contener:
- Clasificación de datos por nivel de sensibilidad
- Controles de acceso y autenticación exigidos por nivel
- Requisitos de cifrado (en reposo y en tránsito)
- Gestión de vulnerabilidades y actualizaciones
- Proceso de revisión periódica
- Responsabilidades por nivel jerárquico
10. Documentación del Proceso de Atención a Titulares
La Ley 21.719 reconoce derechos a los titulares (acceso, rectificación, supresión, oposición, bloqueo, portabilidad) y exige al responsable contar con mecanismos para atenderlos.
Qué debe contener:
- Canal(es) de recepción de solicitudes
- Flujo interno de triaje y procesamiento
- Responsables de cada etapa
- Plazos internos de cada etapa
- Modelo de respuesta para cada tipo de solicitud
- Procedimiento para casos complejos
11. Registro de Solicitudes de Titulares
Además del proceso documentado, las solicitudes recibidas y respondidas deben registrarse individualmente para demostrar el cumplimiento de los plazos y la calidad de las respuestas.
Qué registrar (por solicitud):
- Fecha de recepción y canal
- Tipo de solicitud (acceso, supresión, portabilidad, etc.)
- Respuesta proporcionada y fecha
- Eventuales motivos de rechazo (con fundamento legal)
12. Tabla de Retención y Eliminación de Datos
Define, para cada categoría de datos tratados, el plazo de retención, la base para ese plazo y el procedimiento de eliminación después del plazo. Materializa el cumplimiento del principio de minimización y de los artículos de la Ley 21.719 que regulan el término del tratamiento.
Qué debe contener:
- Tipo/categoría de dato
- Plazo de retención y su fundamento (legal o funcional)
- Disparador que inicia el conteo del plazo
- Método de eliminación después del plazo
- Responsable de ejecutar la eliminación
13. Registros de Capacitación en Protección de Datos
El registro de capacitaciones demuestra que la organización invierte en la formación de sus colaboradores — uno de los criterios atenuantes de la Ley 21.719.
Qué registrar:
- Fecha(s) de la capacitación
- Contenido abordado
- Lista de participantes con firma (digital o física)
- Responsable de la capacitación
14. Política de Respuesta a Incidentes
La existencia de un proceso documentado de respuesta a incidentes — con roles, responsabilidades y plazos definidos — demuestra preparación y diligencia. Su ausencia, en caso de incidente, agrava la evaluación de la APDP sobre la negligencia del responsable.
Qué debe contener:
- Criterios para clasificación de incidentes
- Equipo de respuesta y responsabilidades
- Procedimientos de contención e investigación
- Criterios para evaluar el umbral de notificación (Art. 14 sexies)
- Proceso de comunicación (interna, a la APDP, a los titulares)
- Procedimiento post-incidente (aprendizajes, actualizaciones)
15. Evaluación de Interés Legítimo (LIA)
Para toda actividad basada en interés legítimo como base legal, la organización debe haber realizado y documentado el test de equilibrio entre el interés del responsable y los derechos de los titulares. La APDP puede exigir la presentación de esta evaluación.
Estructura del LIA:
- Identificación del interés legítimo invocado
- Necesidad y proporcionalidad del tratamiento
- Equilibrio: impacto sobre derechos de los titulares versus interés del responsable
- Medidas de salvaguarda adoptadas para mitigar el impacto
- Conclusión: ¿el tratamiento supera el test de equilibrio?
16. Documentación de Transferencias Internacionales
Toda transferencia de datos personales fuera de Chile debe tener fundamento en alguno de los mecanismos autorizados por la Ley 21.719 (nivel de protección adecuado reconocido por la APDP, garantías contractuales, normas corporativas vinculantes, etc.). Cada transferencia debe estar documentada con su base y las salvaguardas aplicadas.
Qué documentar:
- Destino de la transferencia (país y empresa receptora)
- Categorías de datos y finalidad de la transferencia
- Mecanismo legal utilizado
- Cláusulas contractuales o normas corporativas utilizadas
- Evaluación del nivel de protección del país de destino
17. Cláusulas de Protección de Datos en Contratos con Co-responsables
Cuando dos o más organizaciones determinan conjuntamente las finalidades y los medios del tratamiento de datos, se consideran co-responsables. El instrumento que define las responsabilidades de cada parte es un requisito de responsabilidad activa.
Qué definir:
- Responsabilidades de cada responsable en cada etapa del tratamiento
- Quién atiende las solicitudes de los titulares y en qué casos
- Cómo se gestionan y comunican los incidentes
- Punto de contacto para los titulares
18. Programa General de Protección de Datos (Política Marco)
El documento "paraguas" del programa de cumplimiento: describe los principios generales adoptados por la organización para el tratamiento de datos personales, los roles y responsabilidades del programa, la estructura de gobernanza y la referencia a todos los demás documentos.
Por qué es esencial: En una investigación de la APDP o en una due diligence, este es el primer documento solicitado. Su existencia demuestra que la organización tiene un programa estructurado, no una colección de documentos aislados.
Qué debe contener:
- Alcance y propósito del programa
- Principios orientadores (alineados a la Ley 21.719)
- Estructura de gobernanza (DPD, comité de privacidad, responsables)
- Referencia a los demás documentos del programa
- Proceso de revisión periódica
Consolidación: los documentos por grupo
| # | Documento | Obligatoriedad |
|---|---|---|
| 1 | RAT — Registro de Actividades de Tratamiento | Directa |
| 2 | EIPD | Directa (cuando corresponda) |
| 3 | Aviso/Política de Privacidad | Directa |
| 4 | Acto de Designación del DPD | Directa (condicionada) |
| 5 | Registros de Consentimiento | Directa (cuando corresponda) |
| 6 | Contratos con Encargados | Directa |
| 7 | Registros de Incidentes | Directa |
| 8 | Comunicaciones a la APDP y Titulares | Directa (cuando corresponda) |
| 9 | Política de Seguridad de la Información | Responsabilidad activa |
| 10 | Proceso de Atención a Titulares | Responsabilidad activa |
| 11 | Registro de Solicitudes de Titulares | Responsabilidad activa |
| 12 | Tabla de Retención y Eliminación | Responsabilidad activa |
| 13 | Registros de Capacitación | Responsabilidad activa |
| 14 | Política de Respuesta a Incidentes | Responsabilidad activa |
| 15 | Evaluación de Interés Legítimo (LIA) | Responsabilidad activa (cuando corresponda) |
| 16 | Documentación de Transferencias Internacionales | Directa (cuando corresponda) |
| 17 | Contratos con Co-responsables | Directa (cuando corresponda) |
| 18 | Programa General de Protección de Datos | Responsabilidad activa |
Errores comunes en la documentación
| Error | Riesgo | Corrección |
|---|---|---|
| RAT genérico, copiado de una plantilla, sin reflejar la realidad | Inválido para fines de prueba; puede ser peor que no tener ninguno | Mapeo real con responsables de cada área |
| Contratos con proveedores desactualizados o sin cláusulas de protección de datos | Responsabilidad solidaria del responsable por faltas del encargado | Revisión anual de todos los contratos con encargados |
| Aviso de privacidad genérico que no refleja las prácticas reales | Desinformación al titular; puede configurar práctica engañosa | El aviso debe describir las prácticas reales, no las idealizadas |
| Designación del DPD sin publicación pública | Incumplimiento de la obligación de información | Publicar datos de contacto en el sitio web y en el aviso de privacidad |
| Registros de consentimiento sin fecha y versión del aviso vigente | Carga de la prueba no cumplida | Registrar metadatos completos: fecha, hora, versión, canal |
| Política de seguridad sin responsables definidos | Documento ornamental sin operatividad | Incluir matriz de responsabilidades clara |
Conclusión
Estos documentos pueden parecer muchos — pero cada uno resuelve un problema real: sin RAT, la organización no sabe qué trata; sin contratos con encargados, no controla quién procesa sus datos; sin registros de consentimiento, no puede probar lo que afirma; sin política de respuesta a incidentes, improvisa en el peor momento posible.
La cuestión no es acumular documentos por acumulación. Es tener, para cada obligación legal, la evidencia correspondiente que demuestre su cumplimiento. Eso es lo que la APDP evaluará, y es lo que diferencia un programa de cumplimiento real de uno de fachada.
Confidata centraliza la gestión de todos los documentos esenciales del programa de protección de datos — RAT, EIPD, registros de consentimiento, incidentes y atención a titulares — en una plataforma estructurada y auditable. Conozca cómo nuestra plataforma organiza su documentación de cumplimiento.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.