Cómo evaluar y monitorear proveedores de cloud y SaaS bajo la Ley 21.719
La mayoría de las organizaciones chilenas usa decenas de plataformas SaaS y servicios de cloud — sistemas de RRHH, CRM, ERP, herramientas de colaboración, plataformas de marketing, sistemas de atención al cliente. Cada uno de esos servicios accede, procesa o almacena datos personales. Cada uno es, bajo la Ley 21.719, un encargado del tratamiento.
La particularidad del cloud y del SaaS respecto de los proveedores tradicionales está en la asimetría contractual y en la cadena de sub-encargados invisibles. No se firma un contrato individual con los términos que se desea — se aceptan los términos de la plataforma. Y no raramente, el CRM usa servidores AWS en Virginia del Norte, procesando datos personales de ciudadanos chilenos en territorio estadounidense, con servicios de análisis de terceros que nunca se supo que existían.
Por qué cloud y SaaS tienen desafíos específicos
1. Localización de datos incierta A diferencia de un proveedor que opera en Chile con servidores físicos locales, los servicios de cloud y SaaS frecuentemente almacenan y procesan datos en regiones geográficamente distribuidas. El centro de datos que procesa sus datos puede variar según disponibilidad, balanceo de carga o configuración por defecto de la plataforma.
2. Cadena de sub-encargados Las plataformas SaaS raramente operan de forma completamente autosuficiente. Usan servicios de cloud de terceros (AWS, Azure, Google Cloud), herramientas de analytics, sistemas de soporte al cliente, procesadores de pago, servicios de correo transaccional. Cada uno puede procesar los datos insertados en la plataforma.
3. Transferencia internacional automática La mayoría de los grandes proveedores de SaaS y cloud tienen sede en Estados Unidos. Al usar Gmail, Slack, Salesforce, HubSpot o Microsoft 365, los datos personales se procesan en EE. UU. — un país que no cuenta con declaración de adecuación general por parte de la APDP chilena.
4. Contratos de encargo estandarizados Las grandes plataformas raramente negocian contratos de encargo personalizados con clientes individuales. Ofrecen sus propios modelos, que se firman —o no se usa el servicio. La pregunta es: ¿esos contratos cumplen las obligaciones de la Ley 21.719?
Evaluando la localización de los datos: dónde están y cómo averiguarlo
La primera pregunta al evaluar un proveedor de cloud o SaaS es: ¿dónde se almacenan mis datos?
Cómo obtener esa información:
- Documentación de arquitectura de la plataforma (disponible para clientes enterprise)
- Configuraciones de residencia de datos (data residency) — muchas plataformas permiten elegir la región: EE. UU., Europa, Latinoamérica
- Términos de servicio y política de privacidad (generalmente mencionan las regiones)
- Centro de confianza (trust center) — las grandes plataformas (AWS, Google, Microsoft, Salesforce) mantienen portales públicos con información detallada sobre localización de datos, sub-encargados y certificaciones
Qué buscar específicamente:
- Opción de configurar datos en región Latinoamérica o Europa
- Si los datos están en la Unión Europea, verificar si existe mecanismo de adecuación reconocido por la APDP
- Si los datos están en EE. UU., ¿cuál es el mecanismo de transferencia internacional aplicable?
Plataformas que ofrecen residencia de datos en Latinoamérica: Algunos proveedores de cloud ofrecen regiones latinoamericanas: AWS (sa-east-1, São Paulo; us-east-1 para el resto), Google Cloud (southamerica-east1) y Azure (Brazil South). Usar estas regiones no elimina la cuestión de transferencias internacionales para otros servicios de la plataforma, pero reduce el alcance.
Sub-encargados: mapeando la cadena invisible
El GDPR europeo creó la obligación de que los encargados notifiquen a los responsables sobre cambios en sub-encargados. La Ley 21.719 también aborda esta cuestión: el responsable del tratamiento debe conocer quién procesa sus datos y bajo qué condiciones.
Cómo mapear los sub-encargados de un proveedor:
-
Lista de sub-encargados publicada: Las grandes plataformas publican listas de sub-encargados en sus centros de confianza. Ejemplos: Salesforce Sub-processors, Google Workspace Sub-processors.
-
Contrato de encargo con lista de sub-encargados: Verifique si el contrato del proveedor incluye lista de los principales sub-encargados.
-
Notificación de cambios: El contrato debe prever que el proveedor notificará cambios en la lista de sub-encargados con suficiente anticipación para que el responsable pueda objetar.
Qué hacer con la lista de sub-encargados:
- Verificar si los sub-encargados críticos tienen certificaciones de seguridad
- Identificar sub-encargados en países sin adecuación (lo que exige verificar el mecanismo de transferencia)
- Registrar los sub-encargados relevantes en el registro de tratamientos como parte de la cadena de procesamiento
Evaluando el contrato de encargo de cloud y SaaS: qué verificar
Las grandes plataformas ofrecen contratos de encargo estandarizados. En la mayoría de los casos, no es posible negociar términos — la pregunta es si el contrato estándar cumple las obligaciones bajo la Ley 21.719.
Elementos obligatorios a verificar en el contrato de encargo:
| Elemento | Qué verificar | Señal de alerta |
|---|---|---|
| Definición de los roles | Responsable = usted; encargado = la plataforma | Contrato que no define roles o que define a la plataforma como co-responsable sin justificación |
| Finalidad del procesamiento | Procesamiento solo para prestación del servicio contratado | Contrato que permite uso de los datos para "mejora de servicios" sin especificación |
| Sub-encargados | Lista disponible, notificación de cambios | Ausencia de lista o cláusula sin obligación de notificación |
| Seguridad | Medidas de seguridad implementadas (cifrado, control de acceso, etc.) | Ausencia de compromiso de seguridad específico |
| Notificación de incidentes | Plazo de notificación al responsable en caso de incidente | Plazo superior a 72 horas o ausencia de plazo |
| Derechos de los titulares | Compromiso de apoyar al responsable en la atención de derechos | Ausencia de compromiso con derechos de los titulares |
| Transferencia internacional | Mecanismo para transferencias al exterior | Ausencia de cualquier mención a transferencias internacionales |
| Devolución/eliminación | Datos devueltos o eliminados al fin del contrato | Plazo indefinido o ausencia de compromiso de eliminación |
Transferencias internacionales en cloud y SaaS: cómo regularizarlas
La mayoría de las plataformas SaaS internacionales incorpora mecanismos de transferencia internacional en sus contratos — generalmente las cláusulas contractuales estándar del GDPR europeo (SCCs de la UE) o sus propias políticas corporativas de privacidad.
La Ley 21.719 regula las transferencias internacionales de datos personales, estableciendo que solo pueden realizarse a países que ofrezcan un nivel de protección adecuado, o cuando existan salvaguardas suficientes. Los mecanismos aceptables incluyen:
- Decisión de adecuación de la APDP: Proveedor con servidores en país reconocido con nivel de protección adecuado.
- Cláusulas contractuales estándar: Las que establezca la APDP o, mientras no las publique, cláusulas que ofrezcan garantías equivalentes.
- Normas corporativas vinculantes (BCR): Para grupos empresariales con transferencias intragrupo.
Solución práctica para plataformas que aún no tienen contrato de encargo específico para Chile: Verificar si la plataforma utiliza las SCCs del modelo europeo y documentar que el mecanismo vigente es el "más cercano disponible" mientras la plataforma no publica adenda específica para la Ley 21.719 — con plan de regularización.
Evaluación por nivel de riesgo: cómo priorizar
No todo SaaS merece el mismo nivel de evaluación. La priorización por nivel permite enfocar los recursos de compliance donde el riesgo es mayor:
Nivel 1 — Crítico (evaluación completa trimestral):
- Sistemas que procesan datos sensibles (salud, biometría)
- Sistemas con acceso a datos de grandes volúmenes de clientes (CRM, ERP con registro completo)
- Sistemas de RRHH con datos de colaboradores
- Infraestructura cloud principal (AWS, Azure, GCP)
Nivel 2 — Alto (evaluación semestral):
- Plataformas de comunicación corporativa (Slack, Teams, Google Workspace)
- Herramientas de analytics con datos identificables
- Sistemas de atención al cliente
- Plataformas de email marketing
Nivel 3 — Estándar (evaluación anual o en la renovación):
- Herramientas de productividad sin acceso a datos personales de clientes
- Plataformas de almacenamiento de documentos internos
- Servicios de videoconferencia (cuando no retienen grabaciones con datos personales)
Monitoreo continuo: más allá de la evaluación inicial
La evaluación antes de la contratación es el punto de partida — no el punto de llegada. Los proveedores de cloud y SaaS cambian sus sub-encargados, sus políticas, sus configuraciones de seguridad y sus contratos regularmente.
Programa de monitoreo continuo:
| Frecuencia | Acción |
|---|---|
| Siempre que sea notificado | Revisar cambios en sub-encargados (si el contrato prevé notificación) |
| Trimestral (Nivel 1) | Verificar el trust center del proveedor por cambios en políticas y certificaciones |
| Semestral (Nivel 2) | Cuestionario abreviado + revisión de incidentes reportados |
| Anual | Reevaluación completa + revisión del contrato de encargo vigente |
| En la renovación | Actualización del contrato de encargo si es necesario; reevaluación de nivel |
| Tras un incidente | Investigación inmediata + revisión de controles |
Alertas de cambio para monitorear:
- Notificaciones del centro de confianza del proveedor (muchos ofrecen RSS o alertas de correo para cambios de política)
- Noticias sobre incidentes de seguridad que involucren al proveedor
- Cambios en los términos de servicio que impacten el procesamiento de datos
Casos especiales: plataformas de IA y analytics
Las plataformas de IA (copilotos, asistentes, modelos de lenguaje como servicio) tienen características específicas que elevan el riesgo de privacidad:
- Entrenamiento con datos de usuarios: Muchas plataformas de IA usan datos de interacción para mejorar sus modelos. Si se usa un copiloto con acceso a correos o documentos con datos personales de clientes, verificar específicamente si esos datos se usan para entrenamiento y cómo desactivar esa opción.
- Procesamiento externo inevitable: El procesamiento ocurre en los servidores del proveedor de IA — generalmente en EE. UU. — lo que requiere un mecanismo de transferencia internacional.
- EIPD puede ser necesaria: Integrar IA que procesa datos personales a escala puede configurar un tratamiento de alto riesgo que requiera EIPD (Evaluación de Impacto en la Protección de Datos).
Checklist de evaluación de proveedor cloud y SaaS
Localización y residencia de datos:
- ¿Dónde se almacenan los datos (región geográfica)?
- ¿Hay opción de residencia de datos en Latinoamérica o en la UE?
- Para datos fuera de Chile: ¿mecanismo de transferencia adecuado?
Sub-encargados:
- ¿Lista de sub-encargados disponible?
- ¿El contrato prevé notificación de cambios con anticipación?
- ¿Los sub-encargados críticos tienen certificaciones relevantes?
Contrato de encargo:
- ¿Contrato de encargo disponible para firma?
- ¿Roles de responsable y encargado claramente definidos?
- ¿Plazo de notificación de incidentes ≤ 72 horas?
- ¿Compromiso con derechos de los titulares?
- ¿Eliminación/devolución de datos en el término del contrato?
Seguridad:
- ¿Certificaciones de seguridad (ISO 27001, SOC 2 Tipo II) con informe reciente?
- ¿Cifrado en tránsito y en reposo documentado?
- ¿Control de acceso y MFA documentados?
Monitoreo:
- ¿Proveedor registrado en el inventario de proveedores con nivel definido?
- ¿Próxima revisión agendada según frecuencia del nivel?
- ¿Canal de notificación de cambios de política configurado?
Conclusión
Evaluar y monitorear proveedores de cloud y SaaS bajo la Ley 21.719 no es una tarea puntual — es un proceso continuo que acompaña el ciclo de vida de cada contrato. La buena noticia es que los grandes proveedores internacionales han invertido en estructuras de cumplimiento que facilitan la evaluación: centros de confianza públicos, contratos de encargo disponibles en línea, listas de sub-encargados publicadas, certificaciones auditadas.
El desafío real está en hacer esa evaluación de forma sistemática para todos los proveedores relevantes — no solo para los más obvios — y mantener el registro actualizado que demuestra a la APDP que la organización ejerce control efectivo sobre su cadena de encargados.
Confidata incluye módulo de gestión de proveedores con inventario de SaaS y cloud, seguimiento de contratos de encargo por proveedor, nivel de criticidad definido por el delegado de protección de datos y alertas automáticas para revisiones periódicas según el cronograma del programa de monitoreo.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.