Cómo gestionar proveedores y encargados conforme a la Ley 21.719
El eslabón más débil de cualquier programa de cumplimiento con la Ley 21.719 raramente está dentro de la organización. Está en algún proveedor que accede a datos de clientes, en un sistema de CRM hospedado en la nube, en una agencia de marketing que envía campañas por correo electrónico o en una contabilidad tercerizada que procesa datos de empleados.
La Ley 21.719 es explícita: el responsable del tratamiento no se exime de responsabilidad al contratar a un encargado. Al contrario — asume obligaciones de fiscalización activa. Ignorar esto ya ha costado a organizaciones en jurisdicciones comparables procesos sancionatorios, responsabilidad solidaria y daños reputacionales.
Responsable vs. encargado: la distinción que define responsabilidades
Definiciones bajo la Ley 21.719
- Responsable: quien determina los fines y los medios del tratamiento de datos personales
- Encargado: quien trata datos personales por cuenta del responsable, siguiendo sus instrucciones
El criterio determinante es el poder de decisión sobre la finalidad y los medios esenciales del tratamiento. Quien decide por qué y cómo se tratan los datos es el responsable. Quien ejecuta el tratamiento bajo instrucción de otro es el encargado.
Ejemplos prácticos
| Situación | Responsable | Encargado |
|---|---|---|
| E-commerce con procesadora de pago | Tienda virtual | Procesadora de pago |
| Empresa con agencia de marketing digital | Empresa contratante | Agencia (usa datos conforme al briefing) |
| Empresa con call center tercerizado | Empresa (define reglas y finalidades) | Empresa de call center |
| Empresa usando SaaS (CRM, ERP, RRHH) | Empresa cliente | Proveedor del SaaS |
| Empresa usando AWS, Azure o Google Cloud | Empresa (decide qué almacenar) | Proveedor de nube (infraestructura) |
| Empresa con nómina tercerizada | Empresa empleadora | Software de RRHH/contabilidad |
Cuando el encargado se convierte en responsable
El encargado pierde su condición — y pasa a asumir las responsabilidades de un responsable — cuando comienza a tomar decisiones autónomas sobre la finalidad o los medios esenciales del tratamiento, más allá de las instrucciones recibidas. Es decir: cuando usa los datos para finalidades propias no autorizadas.
Atención: los roles no son fijos por empresa — se definen operación por operación. La misma organización puede ser responsable respecto de sus clientes y encargada respecto de las empresas que la contratan para servicios de procesamiento.
La responsabilidad solidaria: cuándo el responsable responde por el encargado
Lo que establece la Ley 21.719
La Ley 21.719 establece que el responsable debe asegurarse de que el encargado ofrezca garantías suficientes para implementar medidas técnicas y organizativas apropiadas. El responsable tiene el deber de fiscalizar activamente que el encargado cumple con sus instrucciones y con la ley.
La responsabilidad solidaria existe cuando el encargado cause daño al titular por incumplimiento de la ley o de las instrucciones del responsable.
Cuándo el responsable responde por el encargado
En la práctica, el responsable corre riesgo de responsabilidad solidaria cuando:
- No realizó due diligence — contrató al encargado sin evaluar su capacidad de seguridad y gobernanza
- No entregó instrucciones claras — el encargado no sabía qué datos tratar, para qué y con qué restricciones
- No fiscalizó — nunca verificó si el encargado cumplía las instrucciones y la Ley 21.719
- No formalizó las obligaciones — sin contrato ni contrato de tratamiento que documente las responsabilidades
- El encargado violó la ley — en ese caso, ambos responden solidariamente ante los titulares afectados
El contrato de tratamiento de datos: qué incluir
La Ley 21.719 exige que cuando el responsable encarga a un tercero el tratamiento de datos personales, esta relación quede regulada mediante instrucciones documentadas — el instrumento que las formaliza es el contrato de tratamiento de datos (equivalente al DPA europeo).
Un contrato de tratamiento robusto debe contener:
1. Identificación de las partes y roles
Identifique expresamente quién es el responsable y quién es el encargado. Incluya previsión sobre subencargados (terceros contratados por el encargado): cuáles están autorizados, cuáles requieren aprobación previa del responsable, y cómo el encargado mantiene responsabilidad por los actos de los subencargados.
2. Objeto y alcance del tratamiento
Describa con precisión:
- Qué actividades de tratamiento están autorizadas
- Qué categorías de datos personales están involucradas
- Qué grupos de titulares están afectados
- Cuáles finalidades son permitidas (el encargado no puede tratar para finalidades propias)
3. Duración y destino final de los datos
- Plazo del contrato y plazo de retención de los datos por el encargado
- Qué ocurre con los datos al término: eliminación certificada, devolución al responsable o anonimización
- Plazo para ejecutar el proceso de cierre
4. Obligaciones de seguridad
Especifique las medidas técnicas y administrativas mínimas exigidas:
- Cifrado en tránsito y en reposo
- Control de acceso granular (mínimo privilegio)
- Autenticación multifactor para sistemas con datos personales
- Logs de acceso y auditoría
- Gestión de vulnerabilidades y procedimientos de parches
- Estándares de seguridad aceptados (ISO 27001, SOC 2 Tipo II, etc.)
5. Confidencialidad
Deber de confidencialidad de todos los empleados y subcontratistas del encargado que accedan a datos personales. La cláusula de confidencialidad debe sobrevivir al término del contrato.
6. Gestión de incidentes
- Plazo para que el encargado notifique al responsable en caso de incidente (recomendado: 24 a 48 horas)
- Información mínima que el encargado debe entregar (naturaleza del incidente, datos afectados, medidas adoptadas)
- Obligación de colaboración en el proceso de notificación a la APDP y a los titulares (el responsable debe notificar sin dilaciones indebidas conforme al Art. 14 sexies — referencia práctica: 72 horas desde que toma conocimiento)
7. Atención a derechos de los titulares
- Obligación del encargado de apoyar al responsable en la atención de solicitudes de titulares (acceso, rectificación, eliminación, portabilidad)
- Plazo para respuesta a las solicitudes enviadas por el responsable
8. Auditoría y fiscalización
- Derecho del responsable de realizar auditorías al encargado (o exigir informes de auditoría independiente — SOC 2, ISO 27001)
- Obligación del encargado de proporcionar información necesaria para demostrar cumplimiento
9. Subencargados
- Lista de subencargados autorizados (o prohibición de subcontratación sin aprobación previa)
- Cuando la subcontratación sea permitida: el subencargado debe asumir obligaciones equivalentes a las del encargado
- El encargado mantiene responsabilidad ante el responsable por los actos del subencargado
10. Transferencias internacionales
Restricciones y requisitos para la transferencia de datos fuera de Chile, conforme a la Ley 21.719.
11. Penalidades y SLA
Consecuencias contractuales por violación de cláusulas de privacidad y seguridad. SLAs de seguridad y disponibilidad. Indemnización por daños causados por negligencia del encargado.
Due diligence de proveedores en privacidad: el proceso en 5 fases
La due diligence de privacidad es la investigación realizada antes de contratar a un proveedor que tendrá acceso a datos personales. Es un requisito de buena gobernanza y, implícitamente, de adecuación a la Ley 21.719.
Fase 1 — Mapee y clasifique a los proveedores
Identifique todos los proveedores que tendrán o ya tienen acceso a datos personales de la organización. Clasifíquelos por criticidad:
- Alto riesgo: acceso a datos sensibles, datos a gran escala, sistemas críticos, datos de menores de 14 años
- Riesgo medio: acceso a datos de clientes o empleados en escala moderada
- Bajo riesgo: acceso limitado, datos anonimizados o seudonimizados
Los proveedores de alto riesgo exigen due diligence completa. Los de bajo riesgo, como mínimo, la suscripción de un contrato de tratamiento simplificado.
Fase 2 — Aplique el cuestionario de evaluación de privacidad
Preguntas fundamentales antes de contratar:
- ¿El proveedor tiene política de privacidad y seguridad de la información documentadas?
- ¿Tiene Delegado de Protección de Datos o responsable designado?
- ¿Qué certificaciones de seguridad posee (ISO 27001, SOC 2 Tipo II)?
- ¿Los datos se almacenan cifrados? ¿Qué protocolo?
- ¿Dónde están los servidores? ¿Hay transferencia internacional de datos?
- ¿Tiene procedimiento documentado de respuesta a incidentes?
- ¿En cuánto tiempo notifica a clientes ante un incidente de seguridad?
- ¿Realiza capacitaciones periódicas de privacidad con sus colaboradores?
- ¿Permite auditorías o entrega informes de auditoría independiente (SOC 2)?
- ¿Utiliza subcontratistas que acceden a los datos? ¿Cuáles?
- ¿Historial de incidentes o procesos sancionatorios en privacidad?
Fase 3 — Analice las evidencias
No acepte respuestas sin evidencias. Solicite:
- Copias de las políticas declaradas
- Certificados ISO 27001 o informes SOC 2 vigentes
- Informes de pruebas de penetración (pentest) recientes
- Ejemplos de contratos de tratamiento que el proveedor usa con otros clientes
Fase 4 — Formalice contractualmente
Suscriba el contrato de tratamiento antes de iniciar cualquier transferencia de datos. Si el proveedor se niega a firmar o impone un contrato unilateral excesivamente restrictivo para el responsable, evalúe el riesgo o reemplace al proveedor.
Fase 5 — Monitoree continuamente
La due diligence no es una evaluación única. Programe:
- Revisión anual para proveedores de alto riesgo
- Monitoreo de noticias sobre incidentes que involucren al proveedor
- Solicitud de evidencias actualizadas de cumplimiento
- Actualización del contrato de tratamiento cuando el alcance del tratamiento cambie
El registro de encargados: cómo estructurarlo
Toda organización debe mantener un registro actualizado de proveedores con acceso a datos personales — frecuentemente como componente del RAT (Registro de Actividades de Tratamiento).
Campos esenciales por proveedor:
| Campo | Descripción |
|---|---|
| Identificación | Razón social, RUT, contacto del DPD del proveedor |
| Servicio prestado | Descripción del servicio y del acceso a datos |
| Rol | Encargado o subencargado (¿de quién?) |
| Datos compartidos | Categorías, volúmenes estimados, titulares afectados |
| Base legal del tratamiento | Qué hipótesis legal ampara el tratamiento compartido |
| Ubicación de los datos | País/región de almacenamiento y procesamiento |
| Medidas de seguridad exigidas | Resumen de las obligaciones contractuales |
| Referencia al contrato | Número de contrato, fecha, validez |
| Resultado de la due diligence | Fecha, clasificación de riesgo, próxima revisión |
| Certificaciones vigentes | ISO 27001, SOC 2, etc., con validez |
| Historial de incidentes | Incidentes reportados por el proveedor |
Buenas prácticas de gestión continua
Política de gestión de terceros: Cree una política interna que incluya la privacidad como criterio obligatorio en todos los procesos de contratación. Defina roles: DPD, Jurídico, Compras y TI deben participar en la evaluación de proveedores que accedan a datos personales.
Contrato de tratamiento como condición: Ningún dato personal debe compartirse con un proveedor sin contrato de tratamiento suscrito. Incluya esta exigencia en el proceso de homologación de proveedores.
Offboarding seguro: Al terminar un contrato, exija la eliminación certificada de los datos o su devolución. Documente la eliminación con certificado formal. Actualice el registro de encargados.
Capacitación de compras y jurídico: Los equipos que contratan proveedores necesitan saber identificar cuándo hay tratamiento de datos personales y exigir el contrato de tratamiento. Esta responsabilidad no recae exclusivamente sobre el DPD.
Errores comunes — y lo que el regulador ha visto en la práctica
| Error | Consecuencia legal | Solución |
|---|---|---|
| Contratar encargado sin contrato de tratamiento | Responsabilidad solidaria sin protección contractual | Contrato de tratamiento como condición absoluta |
| Contrato genérico sin especificidad de tratamiento | Cláusulas ineficaces en caso de litigio | Contrato específico por contrato o tipo de tratamiento |
| No fiscalizar al encargado tras la contratación | Vulneración del deber de verificación activa | Revisiones anuales + canal de comunicación activo |
| Subencargados desconocidos | Tratamiento fuera del alcance autorizado | Exigir lista de subencargados y aprobación previa |
| No actualizar el contrato cuando el alcance cambia | Contrato desactualizado no cubre los nuevos tratamientos | Revisión del contrato siempre que el contrato sea modificado |
| Sin registro centralizado de encargados | Imposibilidad de responder a la APDP sobre quién trata datos | Registro integrado al inventario de actividades (RAT) |
Conclusión
La gestión de proveedores y encargados conforme a la Ley 21.719 es una de las áreas donde la mayoría de las organizaciones aún tiene brechas críticas. La responsabilidad solidaria es real — y la APDP tendrá herramientas para investigar toda la cadena de tratamiento, no solo al responsable principal.
El punto de partida es simple: mapee todos los proveedores que acceden a datos personales, clasifíquelos por riesgo y asegúrese de que ningún dato se comparte sin un contrato de tratamiento suscrito y una due diligence mínimamente estructurada.
Los proveedores son socios de negocio — pero también son vectores de riesgo de privacidad. Trátelos como tales desde la contratación.
Confidata incluye módulo de gestión de proveedores y encargados con registro centralizado, control de contratos de tratamiento, vencimientos y seguimiento de due diligence de privacidad — todo integrado al inventario de datos personales de su organización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.