Framework de madurez en protección de datos: los 5 niveles de cumplimiento
Estar "en cumplimiento con la Ley 21.719" no es un estado binario — es un espectro. Una organización puede tener política de privacidad publicada y Delegado de Protección de Datos (DPD) designado, pero sin Registro de Actividades de Tratamiento (RAT) actualizado ni canal de atención a titulares que funcione. Otra puede tener proceso formal de Evaluación de Impacto (EIPD), pero sin capacitación regular del equipo. Ambas son "conformes" en algún grado — pero con madurez radicalmente diferente.
Los frameworks de madurez existen para hacer ese espectro medible, comparable y accionable. Esta guía presenta un modelo de 5 niveles de madurez en protección de datos, su conexión con el principio de accountability de la Ley 21.719 y cómo integrarlo con referencias internacionales como la ISO 27701 y el NIST Privacy Framework.
Por qué madurez — y no solo cumplimiento
La pregunta "¿estamos en cumplimiento?" tiene una respuesta jurídica y una respuesta de gestión. La respuesta jurídica es binaria: violó o no violó. La respuesta de gestión es continua: ¿qué tan robusta, sistemática y sostenible es su protección de datos?
Organizaciones con baja madurez están "conformes" hoy por suerte o por esfuerzo puntual. Organizaciones con alta madurez están conformes por diseño — procesos repetibles, documentados, medidos y mejorados continuamente.
La Ley 21.719 reconoce esto explícitamente a través del principio de accountability (responsabilidad proactiva): el responsable del tratamiento debe ser capaz de demostrar que cumple con las obligaciones de la ley. Este principio implica que el cumplimiento no se declara — se demuestra con evidencias. Y las evidencias más sólidas las tienen las organizaciones con mayor madurez.
La madurez también responde a una realidad comercial: inversores, grandes clientes y socios corporativos exigen cada vez más evidencias de madurez en privacidad antes de cerrar contratos. Un informe de madurez en protección de datos es una ventaja competitiva concreta.
El modelo de 5 niveles
El modelo de 5 niveles de madurez en protección de datos es ampliamente utilizado en jurisdicciones con marcos regulatorios comparables. En Chile, la División de Gobierno Digital ha publicado una guía práctica de implementación de la Ley 21.719 para la Administración del Estado y un Marco de Referencia de Gestión de Datos con herramientas de evaluación institucional que se alinean con este enfoque por niveles de madurez.
Nivel 1 — Inicial
Característica central: Acciones reactivas, sin sistematización.
La organización reconoce que la Ley 21.719 existe, pero aún no ha estructurado un programa de cumplimiento. Las acciones ocurren en respuesta a incidentes o solicitudes externas — no por iniciativa propia ni por proceso definido.
Indicadores típicos:
- Sin DPD formalmente designado (o designado "de papel", sin atribuciones reales)
- Sin RAT — ningún registro formal de las actividades de tratamiento
- Política de privacidad copiada de modelos genéricos, sin reflejar la realidad de la organización
- Sin capacitación del equipo en protección de datos
- Incidentes tratados caso a caso, sin proceso de respuesta documentado
El riesgo: La experiencia comparada muestra que la mayoría de los casos sancionados por autoridades regulatorias involucran organizaciones en Nivel 1. La ausencia de estructura básica (RAT, DPD, canal del titular) es el conjunto de infracciones más frecuente.
Nivel 2 — Básico
Característica central: Cumplimiento documental mínimo establecido.
La organización dio los primeros pasos formales: designó el DPD, creó una política de privacidad, publicó el canal de atención a titulares. Los documentos existen, pero no están integrados a la operación — son piezas estáticas que no reflejan procesos reales.
Indicadores típicos:
- DPD designado con contacto publicado en el sitio web
- Política de privacidad publicada (pero posiblemente desactualizada o genérica)
- RAT iniciado — pero incompleto, con muchas actividades no mapeadas
- Canal del titular operativo, pero sin proceso formal de atención
- Sin revisión periódica de los documentos
- Bases legales identificadas de forma superficial (sin análisis jurídico documentado)
La trampa: El Nivel 2 es peligroso porque genera una falsa sensación de seguridad. La organización "tiene los documentos" pero no está protegida operacionalmente.
Nivel 3 — Intermedio
Característica central: Procesos definidos, documentados e integrados a la operación.
El programa de cumplimiento deja de ser una colección de documentos y se convierte en un conjunto de procesos. El RAT refleja la realidad operacional. Las bases legales están documentadas con análisis jurídico. Los titulares son atendidos dentro de los plazos. Hay capacitación periódica.
Indicadores típicos:
- RAT completo y actualizado regularmente (proceso de revisión anual + disparadores de actualización)
- Bases legales documentadas por actividad, con análisis jurídico formal
- EIPD elaborada para tratamientos de alto riesgo (datos sensibles, decisiones automatizadas, menores)
- Canal del titular con protocolo formal, SLA documentado y registro de atenciones
- Contratos de tratamiento con todos los proveedores que acceden a datos personales
- Proceso de gestión de incidentes documentado (con notificación a la APDP sin dilaciones indebidas, conforme al Art. 14 sexies)
- Capacitación periódica del equipo (al menos anual)
- Aviso de cookies funcionando con opt-in real (no solo banner informativo)
El avance: La mayoría de las organizaciones medianas con programa de cumplimiento estructurado está en Nivel 3. Es el nivel mínimo que demuestra accountability real ante una fiscalización.
Nivel 4 — En mejora
Característica central: Procesos medidos, monitoreados e integrados a la estrategia de negocio.
La privacidad deja de ser responsabilidad exclusiva del DPD y pasa a ser parte de la gobernanza corporativa. Se recopilan métricas, se revisan periódicamente y se usan para la toma de decisiones. El Privacy by Design es aplicado sistemáticamente en nuevos proyectos.
Indicadores típicos:
- KPIs de privacidad definidos y monitoreados (tiempo de atención a titulares, % de proveedores con contrato de tratamiento, # de EIPDs elaboradas, # de incidentes por trimestre)
- Privacy by Design como parte formal del proceso de desarrollo de productos y sistemas
- Comité de privacidad activo con participación de C-Level y áreas de negocio
- Auditoría interna periódica de cumplimiento
- Gestión de riesgos de privacidad integrada al sistema general de gestión de riesgos corporativos
- Programa formal de capacitación por rol (capacitación diferenciada para TI, RRHH, Marketing, Jurídico)
- Proceso de due diligence de privacidad para nuevos proveedores y adquisiciones
El diferencial: Las organizaciones en Nivel 4 raramente son sorprendidas por una fiscalización. Tienen evidencias documentadas de gobernanza proactiva — el argumento de buena fe más sólido en un proceso administrativo.
Nivel 5 — Optimizado
Característica central: Mejora continua sistemática y liderazgo en privacidad como ventaja competitiva.
El programa de privacidad es maduro, certificado y en constante evolución. La organización no solo sigue regulaciones — contribuye al debate público (respuestas a consultas de la APDP, participación en grupos de trabajo sectoriales). La privacidad es un diferencial de mercado explícitamente comunicado.
Indicadores típicos:
- Certificación ISO 27701 (Sistema de Gestión de Privacidad de la Información) obtenida y mantenida
- Informe de transparencia publicado voluntariamente (uso de datos, incidentes, atención a titulares)
- Participación activa en regulación sectorial (contribuciones a consultas de la APDP)
- Programa de privacidad documentado formalmente con evidencias de mejora continua
- Revisiones externas periódicas (auditoría de tercera parte)
- Integración con frameworks internacionales (NIST Privacy Framework, GDPR para transferencias internacionales)
- Privacidad como criterio explícito en evaluación de proveedores y socios estratégicos
La realidad: El Nivel 5 es aspiracional para la mayoría de las organizaciones. En el sector público chileno, las estimaciones comparadas con Brasil y Europa sugieren que menos del 5% de las organizaciones alcanzan este nivel en los primeros años de vigencia de una ley de protección de datos. En el sector privado, los números son similares.
Las 6 dimensiones del modelo de evaluación
Independientemente del nivel actual, la evaluación de madurez debe cubrir 6 dimensiones — cada una contribuye al nivel general:
| Dimensión | Qué evalúa |
|---|---|
| Gobernanza | DPD, comité de privacidad, política interna, responsabilidades definidas |
| Inventario y mapeo | RAT, mapeo de flujos de datos, bases legales, plazos de retención |
| Derechos de los titulares | Canal, proceso de atención, plazos, registro de solicitudes |
| Seguridad de la información | Controles técnicos, gestión de incidentes, EIPD, cifrado |
| Terceros y proveedores | Due diligence, contratos de tratamiento, transferencias internacionales |
| Capacitación y cultura | Frecuencia, cobertura por área, evidencias, concientización |
Una organización puede tener dimensiones con niveles diferentes — por ejemplo, seguridad de la información en Nivel 4 (área de TI madura) mientras capacitación y cultura está en Nivel 2 (RRHH aún no estructuró el programa). El nivel general está determinado por la dimensión más débil que represente riesgo crítico.
El principio de accountability: la base del cumplimiento demostrable
El principio de accountability — responsabilidad proactiva — es uno de los ejes de la Ley 21.719. Significa que el responsable del tratamiento debe ser capaz de demostrar en cualquier momento que cumple con las obligaciones de la ley, no solo declarar que las cumple.
La Ley 21.719 establece que la adopción de buenas prácticas de gobernanza y la existencia de medidas proactivas de protección de datos son factores atenuantes en la determinación de sanciones. Una organización que puede mostrar un programa documentado y en funcionamiento tiene argumentos sólidos ante la APDP — incluso cuando ocurre un incidente.
El programa de gobernanza en privacidad debe contener:
- Comprometimiento demostrable de la alta dirección con la protección de datos
- Aplicabilidad a todas las actividades de tratamiento de la organización
- Adaptación a la estructura, escala y volumen de operaciones
- Políticas y salvaguardas basadas en evaluación sistemática de impactos y riesgos
- Mecanismos de supervisión interna y externa
- Planes de respuesta a incidentes
- Actualización periódica basada en monitoreo continuo
Importante: El programa de gobernanza no necesita ser enviado a la APDP preventivamente. Debe existir, estar actualizado y estar disponible para presentación inmediata cuando sea solicitado.
ISO 27701 — El estándar internacional certificable
La ISO/IEC 27701:2025 es la norma internacional para Sistemas de Gestión de Privacidad de la Información (SGPI). En su actualización de octubre de 2025, la norma fue reformulada de extensión de la ISO 27001 a norma standalone — lo que significa que puede implementarse y certificarse independientemente de la ISO 27001.
Este cambio es significativo: las organizaciones que aún no tienen certificación ISO 27001 pueden implementar y certificar un sistema de gestión de privacidad sin necesidad de certificar toda la gestión de seguridad de la información.
Lo que cubre la ISO/IEC 27701:2025:
- Requisitos para un Sistema de Gestión de Privacidad
- Controles específicos para responsables de datos
- Controles específicos para encargados de datos
- Orientaciones mapeadas con el GDPR europeo — y por extensión, aplicables a la Ley 21.719 chilena, que tiene estructura similar
Relación con la Ley 21.719: La APDP reconocerá la ISO 27701 como referencia de buenas prácticas. La certificación es voluntaria y funciona como evidencia de gobernanza madura — relevante tanto para due diligence de clientes internacionales como para demostrar accountability ante la APDP.
NIST Privacy Framework — Referencia metodológica
El NIST Privacy Framework (versión 1.0, publicado en enero de 2020) es un framework voluntario publicado por el National Institute of Standards and Technology de EE.UU. A diferencia de la ISO 27701, el NIST Privacy Framework no es certificable — es una herramienta de planificación y comunicación.
Las 5 funciones del NIST Privacy Framework:
| Función | Descripción | Conexión Ley 21.719 |
|---|---|---|
| Identify-P | Identificar riesgos de privacidad para individuos | Mapeo de datos, RAT |
| Govern-P | Desarrollar e implementar políticas de privacidad | Programa de gobernanza, políticas internas |
| Control-P | Dar a los titulares control sobre sus datos | Derechos de los titulares |
| Communicate-P | Comunicar prácticas de privacidad | Avisos de privacidad, transparencia |
| Protect-P | Implementar salvaguardas para datos personales | Medidas de seguridad técnicas y organizativas |
Utilidad práctica: El NIST Privacy Framework es especialmente útil para organizaciones que:
- Ya usan el NIST Cybersecurity Framework (CSF) para seguridad de la información
- Necesitan una herramienta de comunicación de privacidad para liderazgos técnicos
- Buscan estructura metodológica para la EIPD y la evaluación de riesgos
Cómo realizar la autoevaluación de madurez
Paso 1 — Recopilar evidencias por dimensión
Para cada una de las 6 dimensiones, liste las evidencias que la organización posee:
| Evidencia | ¿Existe? | ¿Actualizada? | ¿Integrada a la operación? |
|---|---|---|---|
| DPD formalmente designado | ✅/❌ | ✅/❌ | ✅/❌ |
| RAT completo | ✅/❌ | ✅/❌ | ✅/❌ |
| Bases legales documentadas | ✅/❌ | ✅/❌ | ✅/❌ |
| Canal del titular activo | ✅/❌ | ✅/❌ | ✅/❌ |
| Contratos de tratamiento con proveedores | ✅/❌ | ✅/❌ | ✅/❌ |
| EIPD para tratamientos de alto riesgo | ✅/❌ | ✅/❌ | ✅/❌ |
| Capacitación periódica | ✅/❌ | ✅/❌ | ✅/❌ |
| Proceso de gestión de incidentes | ✅/❌ | ✅/❌ | ✅/❌ |
| Programa de gobernanza formalizado | ✅/❌ | ✅/❌ | ✅/❌ |
Paso 2 — Clasificar por nivel
Con base en las evidencias:
- Nivel 1: La mayoría de los ítems con ❌ en la primera columna
- Nivel 2: La mayoría existe (✅), pero no está actualizada o integrada
- Nivel 3: La mayoría existe y está actualizada; integración a la operación aún inconsistente
- Nivel 4: Todo existe, actualizado e integrado; métricas y monitoreo presentes
- Nivel 5: Nivel 4 + certificaciones externas y mejora continua documentada
Paso 3 — Identificar las brechas prioritarias
Enfóquese en las dimensiones con mayor riesgo regulatorio:
- Canal del titular inoperante → Prioridad máxima (causa más frecuente de denuncias a la APDP)
- RAT inexistente o desactualizado → Prioridad alta (primer documento solicitado en fiscalizaciones)
- Sin contratos de tratamiento con proveedores → Prioridad alta (responsabilidad solidaria)
- Sin proceso de notificación de incidentes → Prioridad alta (notificación sin dilaciones indebidas a la APDP, Art. 14 sexies)
- Sin EIPD para tratamientos de alto riesgo → Prioridad media (obligatorio para casos del Art. 15 ter)
Paso 4 — Construir el roadmap de evolución
La madurez no se construye en un proyecto único. El roadmap realista para una organización mediana:
| Trimestre | Objetivo | Resultado esperado |
|---|---|---|
| T1 | Nivel 1 → 2 | DPD designado, canal del titular activo, RAT iniciado |
| T2-T3 | Nivel 2 → 3 | RAT completo, bases legales documentadas, contratos con proveedores, primera EIPD |
| T4-T5 | Consolidación Nivel 3 | Capacitación equipo, proceso de incidentes probado, política interna publicada |
| T6-T8 | Nivel 3 → 4 | KPIs definidos, Privacy by Design en proyectos, comité activo, programa de gobernanza |
| T9+ | Nivel 4 → 5 | Auditoría externa, ISO 27701 (si aplica), informe de transparencia |
El impacto de la entrada en vigor de la Ley 21.719
Con la Ley 21.719 entrando en vigor el 1 de diciembre de 2026 y la APDP comenzando a operar con plenas facultades sancionatorias, la presión por madurez aumentará significativamente:
- Fiscalización activa — la APDP tendrá capacidad para iniciar procesos de oficio, no solo ante denuncias
- Regulación más detallada — resoluciones y orientaciones sectoriales (salud, financiero, educación) están en la agenda regulatoria
- Cooperación internacional — acuerdos con autoridades europeas y latinoamericanas pueden ampliar el alcance de las investigaciones
- Incentivos a la autorregulación — la APDP puede reconocer programas sectoriales de buenas prácticas, lo que presionará a las asociaciones gremiales a crear estándares de madurez
Implicación práctica: Las organizaciones que en 2025 se conformaban con el Nivel 2 sentirán presión creciente para alcanzar el Nivel 3 mínimo antes de 2027. El costo de adecuación sube exponencialmente cuando se realiza en respuesta a una notificación — no por iniciativa propia.
Checklist de madurez — autodiagnóstico rápido
Gobernanza
- ¿DPD designado formalmente con contacto publicado en el sitio web?
- ¿Comité o grupo de trabajo de privacidad activo?
- ¿La alta dirección conoce y respalda el programa de privacidad?
Inventario y mapeo
- ¿RAT completo cubriendo todas las áreas (RRHH, Marketing, TI, Finanzas, Operaciones)?
- ¿Bases legales documentadas con análisis jurídico por actividad?
- ¿RAT actualizado en los últimos 12 meses?
- ¿EIPD elaborada para tratamientos de alto riesgo?
Derechos de los titulares
- ¿Canal de atención al titular activo e identificado en el sitio web?
- ¿Proceso documentado para cada tipo de solicitud (acceso, eliminación, rectificación, etc.)?
- ¿Registro de solicitudes mantenido como evidencia?
Seguridad e incidentes
- ¿Medidas técnicas de seguridad documentadas?
- ¿Proceso formal de respuesta a incidentes probado?
- ¿Plazo de notificación a la APDP sin dilaciones indebidas (Art. 14 sexies) documentado en procedimiento?
Terceros y proveedores
- ¿Contratos de tratamiento con todos los proveedores que acceden a datos personales?
- ¿Due diligence de privacidad en nuevos proveedores?
- ¿Transferencias internacionales identificadas con salvaguardas?
Capacitación y cultura
- ¿Capacitación del equipo realizada en los últimos 12 meses?
- ¿Capacitación diferenciada por área (TI, RRHH, Marketing, Jurídico)?
- ¿Proceso para reportar incidentes sospechosos definido y comunicado?
Programa de gobernanza y mejora continua
- ¿Programa de gobernanza en privacidad formalizado?
- ¿Revisión periódica del programa documentada?
- ¿Métricas de cumplimiento recopiladas y reportadas al liderazgo?
Conclusión
La madurez en protección de datos no es un destino — es una trayectoria. La organización que construye su programa de cumplimiento progresivamente, documentando cada paso, acumula un activo de largo plazo: la capacidad de demostrar accountability en cualquier momento, para cualquier stakeholder — sea la APDP en una fiscalización, sea un gran cliente en due diligence o un inversor evaluando riesgo regulatorio.
El camino práctico comienza siempre por el mismo lugar: saber dónde se está. Una autoevaluación honesta de las 6 dimensiones revela las brechas prioritarias — y las brechas con cronograma de cierre son argumentos de buena fe que la APDP reconoce.
Comience por el Nivel 2. Consolide. Avance hacia el 3. El Nivel 5 no es exigido por la ley — pero la distancia del Nivel 1 al Nivel 3 puede ser la diferencia entre una amonestación con plazo de adecuación y un proceso administrativo con publicación de la infracción.
Confidata ofrece un módulo de evaluación de madurez en protección de datos basado en las 6 dimensiones y los 5 niveles, con generación automática de informe de brechas, roadmap de adecuación priorizado por riesgo e integración con todos los módulos de cumplimiento.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.