Due diligence de privacidad en proveedores: checklist con 25 ítems esenciales
Cuando su organización contrata a un proveedor que tendrá acceso a datos personales — ya sea un sistema de RR.HH. en la nube, una plataforma de CRM, una empresa de call center o un servicio de distribución —, no está solo eligiendo un servicio. Está eligiendo un encargado del tratamiento que pasa a integrar su cadena de responsabilidad bajo la Ley 21.719.
La Ley N° 21.719 no aísla al responsable del tratamiento de los actos de sus encargados. El responsable puede ser sancionado cuando el daño resulte de instrucciones que el encargado debió seguir y no siguió, o cuando el encargado actuó en violación a la ley. Esto significa que la diligencia en la selección y el monitoreo de proveedores no es solo buena práctica — es protección jurídica.
El checklist a continuación organiza 25 ítems en cinco dimensiones para una evaluación estructurada de privacidad antes de la contratación — y como criterios de monitoreo continuo para proveedores críticos.
Cómo usar este checklist
Segmentación por criticidad: No todo proveedor necesita pasar por los 25 ítems. Clasifique los proveedores en tiers antes de aplicar el checklist:
- Tier 1 — Crítico: Acceso a datos sensibles (salud, biometría), datos de menores de 14 años, gran volumen de datos personales, o proveedor estratégico sin sustituto fácil → evaluación completa (25 ítems)
- Tier 2 — Alto: Acceso a datos personales significativos (clientes, colaboradores), pero no sensibles → evaluación abreviada (15-20 ítems prioritarios)
- Tier 3 — Estándar: Acceso limitado o incidental a datos personales → cuestionario simplificado + firma del contrato de encargo de tratamiento
Puntuación sugerida: Para cada ítem, clasifique: ✓ Cumplido / ⚠ Parcialmente cumplido / ✗ No cumplido / N/A No aplicable
Aceptación mínima: Cualquier ítem clasificado como ✗ en un área crítica (marcada con ⚠️) debe ser resuelto antes de la contratación o monitoreado con SLA definido.
Dimensión 1: Gobernanza y Política de Privacidad (5 ítems)
Ítem 1 — Política de privacidad formal ⚠️ ¿El proveedor tiene una política de privacidad/protección de datos publicada, actualizada (en los últimos 12 meses) y aplicable a las actividades relevantes para el contrato?
Por qué importa: Una política desactualizada o genérica indica ausencia de programa de privacidad maduro. Busque específicamente si la política cubre el tipo de dato que el proveedor procesará en su nombre.
Ítem 2 — DPD o responsable de privacidad designado ⚠️ ¿El proveedor designó un Delegado de Protección de Datos (DPD) o responsable de privacidad con contacto publicado? Para proveedores sujetos a la Ley 21.719, la obligación aplica cuando su actividad principal involucra el tratamiento a gran escala de datos sensibles o la observación sistemática y masiva de titulares.
Señal de alerta: Proveedor de gran tamaño sin ninguna referencia a responsable de privacidad — indica baja madurez o incumplimiento de las obligaciones de designación.
Ítem 3 — Programa de capacitación de colaboradores ¿El proveedor tiene un programa documentado de capacitación en protección de datos para colaboradores que tendrán acceso a sus datos? ¿Con qué frecuencia ocurre?
Referencia: El principio de responsabilidad proactiva de la Ley 21.719 menciona políticas y salvaguardas para buenas prácticas — la capacitación es uno de los elementos esperados en programas de conformidad maduros.
Ítem 4 — Política de retención y descarte ¿El proveedor tiene una política documentada de retención de datos que defina plazos claros para la eliminación o anonimización de los datos al término del contrato o del plazo de retención?
Puntos específicos a verificar: ¿Cuál es el plazo para eliminación de sus datos tras el cierre del contrato? ¿Cómo el proveedor documenta el descarte?
Ítem 5 — Certificaciones de privacidad y seguridad ¿El proveedor tiene certificaciones relevantes: ISO 27001 (seguridad de la información), ISO 27701 (privacidad), SOC 2 Type II, PCI DSS (si aplica)?
Nota: Las certificaciones no garantizan conformidad — pero evidencian procesos auditados. Un informe SOC 2 Type II reciente (últimos 12 meses) es especialmente valioso por detallar controles probados por auditores independientes.
Dimensión 2: Controles de Procesamiento de Datos (5 ítems)
Ítem 6 — Limitación de finalidad ⚠️ ¿El proveedor procesa sus datos personales únicamente para las finalidades contratadas? ¿Existe política que prohíba el uso de datos de clientes para el desarrollo de modelos, benchmarking u otros fines propios del proveedor sin consentimiento?
Caso frecuente problemático: Plataformas de analytics o IA que usan datos de clientes para entrenar modelos propietarios sin base de licitud adecuada. Verifique los términos de servicio además del contrato de encargo de tratamiento.
Ítem 7 — Minimización de datos ¿El proveedor recolecta únicamente los datos mínimos necesarios para la prestación del servicio? ¿Existen controles técnicos que impidan la recolección o retención de datos más allá de lo contratado?
Ítem 8 — Gestión de sub-encargados ⚠️ ¿El proveedor mantiene una lista actualizada de sub-encargados (terceros que procesan sus datos en nombre del proveedor)? ¿Notifica sobre cambios antes de implementarlos? ¿Exige de los sub-encargados obligaciones equivalentes a las del contrato principal?
Por qué es crítico: Una vulneración en un sub-encargado del que usted no sabía puede comprometer datos de titulares bajo su responsabilidad. La cadena de sub-encargados debe ser rastreable.
Ítem 9 — Mecanismo para derechos de los titulares ⚠️ ¿El proveedor tiene proceso para asistir al responsable del tratamiento en el cumplimiento de solicitudes de titulares (acceso, rectificación, eliminación)? ¿Cuál es el plazo de respuesta tras la solicitud del responsable?
Referencia: La Ley 21.719 determina que el encargado del tratamiento debe realizarlo conforme a las instrucciones del responsable — lo que incluye atender solicitudes de derechos de los titulares encaminadas por el responsable.
Ítem 10 — Controles de calidad y exactitud de los datos ¿El proveedor tiene controles para garantizar que datos incorrectos sean actualizados o eliminados? ¿Cómo se gestionan los errores que afectan a los titulares?
Dimensión 3: Seguridad Técnica (5 ítems)
Ítem 11 — Cifrado en tránsito y en reposo ⚠️ ¿Los datos personales transmitidos entre los sistemas están protegidos por cifrado (TLS 1.2 o superior)? ¿Los datos en reposo están cifrados en los servidores del proveedor?
Referencia de mercado: TLS 1.3 es el estándar actual; TLS 1.2 todavía aceptable. TLS 1.1 o inferior es inaceptable e indica sistema desactualizado.
Ítem 12 — Control de acceso granular y principio de mínimo privilegio ¿El acceso de los colaboradores del proveedor a sus datos está restringido por función (control de acceso basado en roles)? ¿Los colaboradores tienen acceso únicamente al mínimo necesario para su función?
Ítem 13 — Autenticación multifactor (MFA) para acceso privilegiado ⚠️ ¿El MFA es obligatorio para los administradores de sistema y cualquier acceso remoto a sistemas que procesan sus datos? ¿El proveedor monitorea y registra los accesos privilegiados?
Ítem 14 — Gestión de vulnerabilidades y parches ¿El proveedor tiene un programa de gestión de vulnerabilidades con SLA definido para la aplicación de parches críticos? ¿Con qué frecuencia realiza pruebas de penetración?
Referencia: Los parches críticos (CVSS ≥ 9.0) deberían aplicarse en 24-72 horas; los parches de alta severidad en hasta 30 días.
Ítem 15 — Protección de ambientes de desarrollo y prueba ¿Se usan datos reales de producción (y, por lo tanto, sus datos personales) en ambientes de desarrollo y prueba? ¿Existe política que prohíba o controle ese uso?
Señal de alerta: Proveedores que usan datos reales en desarrollo sin anonimización amplían innecesariamente la superficie de exposición.
Dimensión 4: Gestión de Incidentes (5 ítems)
Ítem 16 — Plan de respuesta a incidentes documentado ⚠️ ¿El proveedor tiene un plan de respuesta a incidentes que incluya etapas para la contención, investigación y notificación? ¿El plan fue puesto a prueba en los últimos 12 meses?
Ítem 17 — Plazo de notificación al responsable del tratamiento ⚠️ ¿El contrato o el acuerdo de encargo de tratamiento define el plazo máximo para que el proveedor notifique al responsable sobre incidentes que afecten los datos personales del responsable? El estándar recomendado es 24-48 horas tras la confirmación del incidente — para que el responsable pueda cumplir su propia obligación de notificar a la APDP sin dilaciones indebidas conforme al artículo 14 sexies de la Ley 21.719 (el estándar internacional de referencia, alineado con el GDPR, es de 72 horas).
Punto crítico: Si el proveedor tarda 5 días en notificarle, usted pierde la capacidad de comunicar a la APDP de manera oportuna — lo que puede ser considerado una dilación indebida con base para atribuir responsabilidad.
Ítem 18 — Historial de incidentes en los últimos 24 meses ¿El proveedor tuvo incidentes de seguridad significativos en los últimos 24 meses? ¿Cómo los comunicó a los clientes afectados? ¿Qué medidas fueron tomadas?
Cómo verificar: Además de preguntar directamente, busque el nombre del proveedor en bases de incidentes públicos (Haveibeenpwned para correos electrónicos, informes de la prensa especializada).
Ítem 19 — Comunicación con sub-encargados ante un incidente ¿El proveedor tiene proceso para recibir notificaciones de incidentes de sus sub-encargados y transmitirlas al responsable dentro del plazo contratado?
Ítem 20 — Respaldos y recuperación ante desastres ¿El proveedor realiza respaldos regulares de los datos (incluyendo los suyos)? ¿Cuál es el RPO (Recovery Point Objective) y el RTO (Recovery Time Objective)? ¿Los respaldos son probados periódicamente?
Dimensión 5: Conformidad Contractual (5 ítems)
Ítem 21 — Contrato de encargo de tratamiento firmado ⚠️ ¿Existe un contrato de encargo de tratamiento formalizado con el proveedor que defina claramente los roles de responsable y encargado, las categorías de datos procesados, las finalidades del procesamiento, los plazos de retención y las obligaciones de seguridad?
Referencia: La Ley 21.719 establece que el encargado del tratamiento debe realizarlo conforme a las instrucciones del responsable — esta relación debe estar documentada.
Ítem 22 — Derecho de auditoría ⚠️ ¿El contrato incluye el derecho del responsable de auditar o solicitar evidencias de la conformidad del proveedor? ¿Las auditorías pueden ser realizadas por un tercero designado por el responsable? ¿El proveedor acepta cuestionarios de auditoría estandarizados (SIG, CAIQ, etc.) como alternativa?
Ítem 23 — Transferencias internacionales Si el proveedor procesa sus datos fuera de Chile, ¿existe un mecanismo de transferencia internacional adecuado bajo la Ley 21.719 (país con nivel de protección adecuado reconocido por la APDP, o cláusulas contractuales estándar)? ¿El contrato de encargo hace referencia explícita al mecanismo?
Ítem 24 — Devolución y eliminación de los datos al término del contrato ⚠️ ¿El contrato especifica que, al término del contrato, el proveedor devolverá los datos al responsable (en formato utilizable) y eliminará todas las copias dentro del plazo definido? ¿Incluye certificado de eliminación?
Ítem 25 — Asignación de responsabilidad y seguros ¿El contrato define claramente la responsabilidad del proveedor por daños derivados de sus actos u omisiones? ¿El proveedor tiene seguro de responsabilidad cibernética con cobertura adecuada al volumen de datos procesados?
Priorizando los ítems: lo que no puede faltar
Si el proceso de evaluación debe ser abreviado, los ítems siguientes son no negociables:
| Ítem | Dimensión | Motivo de la prioridad |
|---|---|---|
| 1 | Gobernanza | Indica madurez mínima del programa de privacidad |
| 2 | Gobernanza | Obligación legal de designación de DPD (si aplica) |
| 6 | Procesamiento | Desvío de finalidad es una de las infracciones más graves |
| 8 | Procesamiento | Sub-encargados invisibles son riesgo directo |
| 9 | Procesamiento | Su capacidad de atender titulares depende del proveedor |
| 11 | Seguridad | Protección básica de datos en tránsito y reposo |
| 13 | Seguridad | MFA es control básico con alto impacto de ausencia |
| 16 | Incidentes | Plan = capacidad de respuesta organizada |
| 17 | Incidentes | Plazo de notificación al responsable es crítico para APDP |
| 21 | Contractual | Contrato de encargo de tratamiento es obligación legal |
| 22 | Contractual | Derecho de auditoría garantiza su capacidad de verificación |
| 24 | Contractual | Datos deben retornar al responsable al término del contrato |
Checklist resumido para uso práctico
Gobernanza:
- ¿Política de privacidad publicada y actualizada?
- ¿DPD o responsable de privacidad designado?
- ¿Capacitaciones regulares documentadas?
- ¿Política de retención y descarte definida?
- ¿Certificaciones relevantes (ISO 27001, SOC 2)?
Procesamiento:
- ¿Limitación de finalidad documentada?
- ¿Lista de sub-encargados disponible?
- ¿Proceso para atender derechos de los titulares?
Seguridad:
- ¿Cifrado en tránsito (TLS) y en reposo?
- ¿MFA obligatorio para acceso privilegiado?
- ¿Gestión de parches con SLA definido?
Incidentes:
- ¿Plan de respuesta a incidentes probado?
- ¿Plazo de notificación al responsable: ≤ 48 horas?
- ¿Historial de incidentes verificado?
Contractual:
- ¿Contrato de encargo de tratamiento firmado con cláusulas completas?
- ¿Derecho de auditoría incluido?
- ¿Transferencias internacionales cubiertas?
- ¿Devolución/eliminación de datos al término del contrato?
- ¿Responsabilidad contractual y seguro cibernético verificados?
Conclusión
La due diligence de privacidad no es burocracia — es protección. Una evaluación bien hecha antes de la contratación es infinitamente más barata que gestionar un incidente causado por un proveedor que nunca debió haber sido contratado sin los controles adecuados.
El proceso no necesita ser complejo: un cuestionario estructurado enviado antes de la propuesta, análisis de las respuestas con verificación de evidencias en los ítems críticos, y un contrato de encargo de tratamiento que refleje los compromisos obtenidos. Esto ya posiciona a su organización en conformidad con la Ley 21.719 y demuestra diligencia en la elección y monitoreo de encargados del tratamiento.
Confidata incluye módulo de gestión de proveedores con registro centralizado de encargados del tratamiento, estado del contrato de encargo, tier de criticidad, historial de evaluaciones y alertas de renovación contractual — permitiendo demostrar ante la APDP que todos los encargados fueron evaluados y contratados conforme a la Ley 21.719.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.