Ley 21.719 en Educación Pública: Guía para SLEPs, Municipios y MINEDUC
Chile tiene 346 comunas — la mayoría con un Departamento de Educación Municipal (DAEM) o Corporación Municipal a cargo de sus escuelas — y 36 Servicios Locales de Educación Pública (SLEPs) ya operativos al inicio de 2026, cubriendo a más de 640.000 estudiantes. En el horizonte: 70 SLEPs en total, reemplazando progresivamente la administración municipal de la educación pública en todo el país.
Este proceso de desmunicipalización coincide temporalmente con la entrada en plena vigencia de la Ley 21.719 el 1 de diciembre de 2026. Los SLEPs, los DAEMs y las corporaciones municipales — junto con el MINEDUC — son responsables del tratamiento de datos personales de millones de estudiantes, muchos de ellos menores de edad con protección especial bajo la ley.
La realidad es que la mayoría de estos organismos no cuenta con un Delegado de Protección de Datos (DPO) designado, no ha elaborado una Evaluación de Impacto en la Protección de Datos (EIPD) ni tiene registrado el inventario de actividades de tratamiento. Esta guía es para el gestor público que necesita comenzar — o retomar — la adecuación de su organismo de educación pública.
Lo que diferencia a la escuela pública de la privada bajo la Ley 21.719
La diferencia fundamental está en las bases de licitud disponibles. Los organismos públicos tienen bases de licitud específicas que no están disponibles para entidades privadas:
Bases de licitud para organismos públicos (Art. 13 Ley 21.719)
El Art. 13 de la Ley 21.719 establece que los organismos del Estado pueden tratar datos personales cuando ello sea necesario para el ejercicio de sus funciones y atribuciones legales. Esta base es equivalente a la "ejecución de políticas públicas" de otras legislaciones y es la principal base de licitud para la educación pública.
| Base de licitud | Aplicación en educación pública | Ejemplo |
|---|---|---|
| Ejercicio de funciones públicas (Art. 13) | Base principal para la mayoría de actividades | Matrícula, asistencia, notas, alimentación escolar |
| Obligación legal (Art. 12 b) | Obligaciones ante MINEDUC y otros | Reportes al SIGE, Censo de Matrícula, datos JUNAEB |
| Protección de la vida (Art. 12 d) | Emergencias y datos de salud | Alergias, condiciones médicas, primeros auxilios |
| Consentimiento (Art. 12 a) | Actividades no esenciales | Uso de imagen, plataformas opcionales, publicaciones |
Lo que el organismo público tiene que la escuela privada no tiene
- Art. 20: los organismos públicos solo pueden tratar datos para las finalidades que derivan de sus competencias legales — la "finalidad pública" como límite
- Art. 20, II: deben publicar en sus sitios web las categorías de datos que tratan, las finalidades y la identidad del responsable
- Art. 49: obligación de designar Delegado de Protección de Datos (DPO) — aplicable a organismos públicos sin excepción de tamaño
Implicación práctica para educación pública
Un SLEP o DAEM generalmente no necesita el consentimiento de los padres para los datos esenciales del proceso educacional. La base es el ejercicio de funciones públicas (matrícula, asistencia, beneficios JUNAEB) o la obligación legal (reportes al SIGE, Censo de Matrícula). El consentimiento queda reservado para uso de imagen, plataformas de terceros y finalidades no esenciales.
La Ley 21.719 exige que el tratamiento de datos de menores de 14 años cuente con consentimiento parental para tratamientos que no estén cubiertos por las funciones legales del organismo. Para los tratamientos nucleares del proceso educativo, la base es normativa — no requiere consentimiento individual.
La nueva arquitectura de la educación pública: SLEPs, DAEMs y MINEDUC
La Ley 21.040 (2017) creó los Servicios Locales de Educación Pública para reemplazar progresivamente la administración municipal de las escuelas públicas. Este proceso de transición crea una realidad dual importante para la protección de datos:
El mapa actual (2026)
| Organismo | Rol en educación pública | Situación |
|---|---|---|
| SLEP (36 operativos) | Administra establecimientos en comunas asignadas | 36 en funcionamiento; meta: 70 |
| DAEM / Corporación Municipal | Administra escuelas donde SLEP no ha llegado | ~310 comunas aún bajo modelo municipal |
| MINEDUC | Regulación, financiamiento, sistemas informáticos | Centraliza SIGE, define políticas |
| JUNAEB | Beneficios estudiantiles (alimentación, útiles, becas) | Procesa datos socioeconómicos de alumnos vulnerables |
| Agencia de Calidad | Evaluación de resultados educativos | Procesa datos de desempeño y SIMCE |
| Superintendencia de Educación | Fiscalización de establecimientos | Gestiona denuncias y procesos sancionatorios |
¿Quién es el responsable del tratamiento?
La definición correcta de roles bajo la Ley 21.719 es:
- SLEP o DAEM: responsable del tratamiento para los datos de alumnos y funcionarios de su territorio
- MINEDUC: responsable del tratamiento para el SIGE, el Censo de Matrícula y los sistemas centrales
- JUNAEB: responsable del tratamiento para los datos de beneficios estudiantiles
- Empresa de TI contratada: encargada del tratamiento — procesa datos por instrucción del responsable
- Establecimiento educacional: subunidad del responsable — recopila datos en terreno siguiendo las directrices del SLEP o DAEM
SIGE: el sistema central de datos educacionales en Chile
El SIGE (Sistema de Información General de Estudiantes) del MINEDUC es el equivalente chileno al Censo Escolar brasileño. Es el sistema central donde convergen los datos de todos los alumnos del sistema educacional chileno.
Qué datos contiene el SIGE
- Datos de identidad del alumno (RUT, nombre, fecha de nacimiento, filiación)
- Datos de matrícula (establecimiento, nivel, curso, año)
- Datos de asistencia
- Beneficios JUNAEB asignados (categorías de vulnerabilidad)
- Datos de necesidades educativas especiales (NEE)
- Historial de cambios de establecimiento y de sostenedor
- Datos del docente de jefe de curso
Base de licitud para el SIGE
El MINEDUC opera el SIGE en ejercicio de sus funciones legales (Art. 13 Ley 21.719 + obligación legal). Los SLEPs y DAEMs reportan al SIGE como cumplimiento de una obligación legal — no requieren consentimiento individual de los padres para este reporte.
El SLEP como encargado vs. responsable
Cuando un SLEP usa el SIGE (sistema del MINEDUC), opera como subunidad del responsable que alimenta el sistema central. Cuando el SLEP administra sus propios sistemas internos (diarios de asistencia, plataformas de comunicación con apoderados, registros disciplinarios), es el responsable del tratamiento de esos datos.
JUNAEB: datos socioeconómicos sensibles
La Junta Nacional de Auxilio Escolar y Becas (JUNAEB) procesa datos de los alumnos más vulnerables del sistema educativo. Sus sistemas incluyen:
- IVE (Índice de Vulnerabilidad Escolar): categoriza alumnos por nivel de vulnerabilidad socioeconómica
- RSH (Registro Social de Hogares): el sistema del Ministerio de Desarrollo Social con datos patrimoniales y de composición familiar — JUNAEB lo consulta para asignar beneficios
- Datos de alimentación escolar (PAE): millones de almuerzos y desayunos gestionados por contrato con empresas concesionarias
- Becas de útiles, lentes, fono audiológicos, ortopédicos
Protección especial
Los datos del IVE y del RSH son datos de situación económica — potencialmente sensibles cuando permiten identificar patrones de vulnerabilidad. Los SLEPs y DAEMs que reciben esta información de JUNAEB deben:
- Usarla exclusivamente para asignar los beneficios a los que está destinada
- No exponerla en contextos inapropiados (listas en tableros visibles, actas de reunión)
- Gestionar el acceso con controles: solo el personal que necesita la información para ejecutar los beneficios
La base de licitud para el uso de datos JUNAEB por parte del establecimiento o SLEP es el ejercicio de funciones públicas — es parte de la misión legal del organismo.
El sistema de datos y la cadena de responsabilidad
Los organismos de educación pública chilenos operan con un ecosistema de sistemas:
| Sistema | Responsable | Encargado (si aplica) |
|---|---|---|
| SIGE | MINEDUC | — (sistema propio) |
| Plataformas Google / Microsoft | SLEP o DAEM | Google / Microsoft (transfieren datos al exterior) |
| Sistema de comunicación con apoderados (app) | SLEP o DAEM | Empresa proveedora del software |
| Plataforma de gestión escolar municipal | DAEM / Corporación | Empresa de TI contratada |
| Sistemas de diario electrónico | SLEP o DAEM | Proveedor de la plataforma |
Obligación práctica
Para cada sistema, el organismo responsable debe documentar:
- Quién es el responsable y quién es el encargado
- Qué datos personales se tratan
- Cuál es la base de licitud para cada finalidad
- Si hay transferencia a terceros (especialmente al exterior)
- Qué medidas de seguridad están implementadas
- Cuáles son los plazos de retención
Compartir datos: entre organismos y con terceros
Entre organismos públicos
La Ley 21.719 permite el compartir datos entre organismos públicos cuando sea necesario para el ejercicio de las respectivas funciones legales. Los flujos más comunes en educación pública:
| Origen → Destino | Base de licitud | Ejemplos |
|---|---|---|
| Escuela → SLEP / DAEM | Funciones públicas | Matrícula, asistencia, notas |
| SLEP / DAEM → MINEDUC / SIGE | Obligación legal | Reportes de matrícula, asistencia |
| SLEP / DAEM → JUNAEB | Funciones públicas | Identificación de alumnos para beneficios |
| SLEP / DAEM → Salud | Protección de la vida | Vacunación escolar, emergencias |
| SLEP / DAEM → Tribunales de Familia / OPD | Obligación legal (Ley 21.430) | Ausentismo crónico, vulneración de derechos |
| SLEP / DAEM → Empresa de TI | Contrato de encargo | Hospedaje de sistemas, soporte técnico |
Transferencia internacional de datos
El uso de Google Classroom, Microsoft Teams u otras plataformas internacionales implica transferencia de datos de alumnos a servidores en el exterior. Bajo la Ley 21.719, esto requiere:
- Informar la transferencia en la política de privacidad del organismo
- Asegurarse de que el proveedor cuente con mecanismos de transferencia internacional (cláusulas contractuales estándar validadas por el Ministerio de Economía)
- Para datos de menores de 14 años: garantizar que el uso por parte del proveedor sea compatible con la protección especial que exige la ley
Sin precedente APDP en educación pública... por ahora
A diferencia de Brasil, donde la ANPD ya sancionó a la Secretaria de Educación del Distrito Federal (SEEDF) en 2024 — marcando un antes y un después en la conciencia del sector público educacional —, Chile no tiene aún un caso equivalente. La APDP (Agencia de Protección de Datos Personales) está siendo instalada con plazo para operar antes del 1 de diciembre de 2026.
Eso no significa que el riesgo sea inexistente. Significa que:
- La ausencia de precedentes chilenos específicos no es garantía de impunidad: la Ley 21.719 fue publicada en diciembre de 2024 y su régimen sancionatorio entra en plena vigencia el 1 de diciembre de 2026; la APDP tendrá atribuciones para investigar y sancionar desde esa fecha
- La Contraloría General de la República ya fiscaliza aspectos de gobernanza digital en organismos públicos y puede emitir observaciones antes de que la APDP esté operativa
- Los primeros organismos en ser investigados probablemente serán aquellos con incidentes de seguridad evidentes — exactamente lo que le ocurrió a la SEEDF
La lección del caso SEEDF, aunque brasileño, es instructiva para el sector público chileno: las sanciones fueron por el básico incumplido — no por sofisticadas violaciones técnicas. Sin DPO, sin registro de actividades, sin EIPD y sin comunicación del incidente. Son requisitos que cualquier SLEP o DAEM puede cumplir.
Designación del DPO (Delegado de Protección de Datos)
Obligatoriedad
El Art. 49 de la Ley 21.719 establece la obligación de designar un Delegado de Protección de Datos para:
- Organismos del Estado (todos los organismos públicos)
- Responsables que traten datos personales de grandes volúmenes
- Responsables que traten categorías especiales de datos (datos sensibles)
Los SLEPs, DAEMs y corporaciones municipales califican en las tres categorías. No hay excepción por tamaño.
Quién puede ser DPO
Bajo la Ley 21.719:
- Debe tener conocimientos especializados en protección de datos
- Debe tener posición que no genere conflicto de interés con sus funciones de supervisión
- Puede ser un funcionario interno o un especialista externo
- Su designación debe ser formalizada por acto administrativo (decreto municipal, resolución del SLEP)
Quién NO debe ser DPO (conflictos de interés):
- El director del SLEP o DAEM — es el tomador de decisiones que el DPO debe asesorar
- El Jefe de TI — define las medidas de seguridad que el DPO debería supervisar
- El Jefe de RH — trata masivamente datos de funcionarios
¿DPO compartido entre organismos?
Sí. La Ley 21.719 no prohíbe la designación de un mismo profesional como DPO de múltiples organismos, siempre que cuente con las condiciones para ejercer la función en todos ellos. Para municipios pequeños o SLEPs que comparten territorio geográfico, esta solución puede ser práctica y eficiente.
Modelo de acto de designación
El acto formal debe contener:
- Identificación del funcionario o especialista designado
- Referencia legal (Art. 49 Ley 21.719)
- Atribuciones del Delegado
- Canal de contacto público (correo, teléfono)
- Fecha de inicio de funciones
La designación debe publicarse en el sitio web del organismo y, cuando corresponda, en el portal de transparencia activa.
Fiscalización y Contraloría General: el contexto previo a la APDP
Mientras la APDP se instala, la Contraloría General de la República sigue siendo el principal órgano de control externo para los organismos públicos chilenos.
La Contraloría ya ha emitido observaciones sobre gestión de datos digitales en el sector público:
- Fiscaliza el cumplimiento de la Ley 20.285 sobre Acceso a la Información Pública — que incluye obligaciones de transparencia activa relevantes para la publicación de políticas de privacidad
- Puede emitir observaciones sobre contratos con proveedores de TI que no incluyan cláusulas de protección de datos
- Puede constatar la falta de DPO designado en organismos que tienen esa obligación legal
Nota práctica: Los SLEPs y DAEMs que documenten su adecuación a la Ley 21.719 antes de que la APDP esté operativa estarán en mejor posición frente a cualquier fiscalización — tanto de la Contraloría como de la futura agencia.
Programa de adecuación: hoja de ruta de 12 meses
Meses 1-3: Fundación
1. Designar el DPO (Mes 1)
- Identificar un funcionario o especialista sin conflicto de interés
- Formalizar por decreto o resolución del SLEP / Decreto Alcaldicio para DAEM
- Publicar contacto en el sitio web del organismo y en el portal de transparencia
2. Mapear sistemas y datos (Meses 1-3)
- Inventariar todos los sistemas que tratan datos personales: SIGE, plataformas de comunicación, diarios electrónicos, sistemas de gestión interna
- Para cada sistema: datos recopilados, finalidad, base de licitud, quién accede, si hay transferencia a terceros o al exterior
- Identificar encargados: empresas de TI, proveedores de plataformas
3. Crear inventario de actividades de tratamiento (Mes 3)
- Documentar cada actividad: datos involucrados, base de licitud, finalidad, plazo de retención, medidas de seguridad
- Priorizar: datos de alumnos menores, datos de salud, datos de vulnerabilidad socioeconómica (JUNAEB/IVE)
Meses 4-6: Estructuración
4. Elaborar EIPDs para actividades de alto riesgo (Meses 4-5)
- Priorizar: datos sensibles de salud de alumnos, biometría (si existe), plataformas digitales educativas con datos de menores
- Referencia: orientaciones de la APDP cuando estén disponibles (se esperan para segundo semestre 2026)
5. Regularizar contratos con encargados (Meses 4-6)
- Incorporar cláusulas de protección de datos en contratos con empresas de TI y proveedores de plataformas
- Para plataformas internacionales (Google, Microsoft): solicitar términos de procesamiento de datos con garantías de transferencia internacional
- Verificar si los contratos vigentes del SLEP o DAEM incluyen estas cláusulas
6. Crear política y aviso de privacidad (Mes 5)
- Publicar en el sitio web del organismo (obligación Art. 20)
- Lenguaje accesible — los titulares son padres, apoderados y alumnos de diverso nivel educativo
- Incluir: qué datos se recopilan, para qué, con quién se comparten, cuánto tiempo se conservan, cómo ejercer derechos
Meses 7-9: Implementación
7. Implementar canal del titular (Mes 7)
- Formulario o correo para que apoderados, alumnos y ex-alumnos soliciten acceso, rectificación o supresión de datos
- Plazo de respuesta según Ley 21.719
- Procedure claro para solicitudes de ex-alumnos y funcionarios que se retiraron
8. Capacitar al equipo (Meses 7-8)
- Directores de establecimiento, inspectores generales, jefes de UTP, funcionarios administrativos, TI
- Foco: qué puede y no puede compartirse, cómo tratar datos sensibles, cómo responder solicitudes de titulares
9. Elaborar plan de respuesta a incidentes (Mes 8)
- Definir: quién comunica, en qué plazo, por qué canal
- Modelo de notificación a la APDP y a los titulares
- Incluir criterio para evaluar la gravedad del incidente
Meses 10-12: Consolidación
10. Realizar auditoría interna (Mes 10)
- Verificar que los establecimientos vinculados siguen las directrices del SLEP o DAEM
- Revisar que los contratos con encargados estén actualizados
- Confirmar que el inventario de actividades de tratamiento esté vigente
11. Crear comité de privacidad (Mes 11)
- Participantes: DPO, TI, jurídico, pedagógico, representantes de establecimientos
- Reuniones periódicas (trimestral)
- Responsable de evaluar nuevas plataformas, responder incidentes, actualizar políticas
12. Documentar evidencias de conformidad (Mes 12)
- Consolidar: acto de designación del DPO, inventario de tratamientos, EIPDs, contratos de encargo, política de privacidad, registros de capacitación
- Mantener accesible para eventual fiscalización de la APDP o inspección de la Contraloría
Checklist para SLEPs, DAEMs y corporaciones municipales
- DPO designado por acto administrativo formal (decreto/resolución)
- Contacto del DPO publicado en el sitio web del organismo
- Todos los sistemas que tratan datos de alumnos inventariados (SIGE, diarios, plataformas, comunicaciones)
- Inventario de actividades de tratamiento elaborado y actualizado
- Base de licitud identificada para cada actividad
- Contratos con encargados (empresas de TI, plataformas) incluyen cláusulas de protección de datos
- EIPD elaborada para actividades de alto riesgo (datos sensibles, biometría, plataformas de menores)
- Política de privacidad publicada en el sitio web (obligación Art. 20 Ley 21.719)
- Canal del titular habilitado para apoderados, alumnos y funcionarios
- Plan de respuesta a incidentes de seguridad documentado
- Equipo capacitado (directores, inspectores, secretarias, TI, coordinadores)
- Reporte al SIGE documentado con base de licitud (obligación legal)
- Flujos de datos con JUNAEB y Agencia de Calidad documentados
- Plataformas educativas de terceros (Google, Microsoft) evaluadas respecto a transferencia internacional
- Comité de privacidad constituido con representantes de áreas clave
Conclusión
La adecuación de un SLEP, DAEM o corporación municipal a la Ley 21.719 no es un proyecto de TI — es un proyecto institucional que involucra jurídico, pedagógico, administrativo y tecnología. El primer paso es designar un DPO y formalizar el acto. El segundo, mapear los sistemas existentes. El tercero, comenzar a documentar.
La transición al modelo SLEP y la entrada en vigencia de la Ley 21.719 ocurren en el mismo período. Los organismos que gestionen ambos procesos con planificación estarán en mejores condiciones que aquellos que lleguen a diciembre de 2026 sin haber comenzado. La APDP tendrá atribuciones plenas de fiscalización y sanción — y el sector educacional público, que trata datos de millones de menores, estará naturalmente en su radar.
Confidata está diseñado para organismos públicos de todos los tamaños: inventario de actividades de tratamiento con bases de licitud del sector público, evaluaciones de impacto (EIPD), gestión de contratos de encargo y canal de titulares — todo con control de acceso granular para múltiples unidades educativas y niveles de la organización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.