Responsabilidad Activa: Cómo Construir un Programa de Cumplimiento en Protección de Datos bajo la Ley 21.719
Estar en cumplimiento con la Ley 21.719 es una cosa. Demostrar que se está en cumplimiento es otra — y es exactamente lo que la ley exige. El principio de responsabilidad activa que consagra el Art. 3° de la Ley 21.719 transforma la protección de datos de una obligación pasiva en un programa organizacional activo: el responsable no solo debe adoptar medidas adecuadas, sino ser capaz de acreditar que las adoptó cuando la Agencia de Protección de Datos Personales (APDP) se lo exija.
Este artículo analiza qué implica la responsabilidad activa en la práctica, qué elementos integran un programa de cumplimiento eficaz bajo la Ley 21.719, su conexión con el sistema de compliance de la Ley 20.393 y cómo un programa robusto opera como atenuante ante la APDP.
La responsabilidad activa como principio central
El Art. 3° de la Ley 21.719 establece los principios que rigen el tratamiento de datos personales. Entre ellos, el principio de responsabilidad activa (accountability) obliga al responsable del tratamiento a no solo cumplir la ley, sino a implementar mecanismos que demuestren ese cumplimiento.
La diferencia práctica entre cumplimiento pasivo y responsabilidad activa es sustancial:
| Cumplimiento pasivo | Responsabilidad activa |
|---|---|
| "Tenemos una política de privacidad" | "Tenemos una política de privacidad, aprobada por la dirección en [fecha], revisada anualmente, disponible en el sitio web y comunicada a todos los colaboradores en la última capacitación" |
| "Protegemos los datos personales" | "Protegemos los datos con [medidas específicas], documentadas en el registro de actividades, evaluadas en el EIPD de alto riesgo y auditadas en [fecha]" |
| "Respetamos los derechos de los titulares" | "Respondemos [X] solicitudes por trimestre, con un tiempo promedio de [Y] días, dentro del plazo legal, y conservamos registro de cada respuesta" |
El responsable que opera en modo de responsabilidad activa produce evidencias continuas de que su programa funciona. Esas evidencias son las que la APDP evaluará si abre un proceso de fiscalización.
Los pilares de un programa de cumplimiento bajo la Ley 21.719
Un programa de cumplimiento en protección de datos no es un documento único — es un sistema integrado de políticas, procesos, controles y evidencias. Sus pilares son:
1. Inventario de actividades de tratamiento (RAT)
El Registro de Actividades de Tratamiento es el punto de partida de cualquier programa. Describe qué datos se tratan, con qué finalidad, sobre qué base legal, durante cuánto tiempo, con quién se comparten y qué medidas de seguridad se aplican.
Sin un RAT actualizado, el responsable no puede demostrar que conoce sus propias actividades de tratamiento — lo que invalida cualquier otra evidencia de cumplimiento.
2. Bases legales documentadas
Cada tratamiento de datos personales debe tener una base legal válida conforme a la Ley 21.719: consentimiento, ejecución de contrato, obligación legal, interés vital, función pública o interés legítimo. La base legal de cada actividad debe estar registrada en el RAT, con el fundamento jurídico que la sustenta.
3. Medidas de seguridad proporcionales al riesgo
El Art. 14 de la Ley 21.719 exige medidas técnicas y organizativas adecuadas al riesgo del tratamiento. Estas medidas deben estar documentadas: qué controles existen, cómo se implementan, quién es responsable de su mantenimiento y cómo se verifican.
4. Gestión de derechos de los titulares
El programa debe incluir procedimientos claros para recibir, tramitar y responder solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo — dentro de los plazos de la Ley 21.719. Cada solicitud debe quedar registrada con fecha de recepción, respuesta y resultado.
5. Plan de respuesta a incidentes
Cuando ocurre una brecha de seguridad, el responsable tiene 72 horas para notificar a la APDP (Art. 14 sexies). La preparación previa — plan documentado, equipo designado, canales de comunicación establecidos — es la diferencia entre una respuesta ordenada y una crisis. El plan debe ser probado periódicamente mediante simulaciones.
6. Gestión de encargados del tratamiento
Cada proveedor que trate datos personales por cuenta del responsable debe tener un contrato DPA formalizado con instrucciones claras, medidas de seguridad exigidas y plazos de notificación de incidentes. El responsable debe verificar que los encargados cumplen — no basta confiar.
7. Evaluaciones de impacto (EIPD)
El Art. 15 ter de la Ley 21.719 requiere Evaluación de Impacto en la Protección de Datos para tratamientos de alto riesgo. El programa debe incluir un proceso sistemático para identificar cuándo corresponde una EIPD y un registro de las evaluaciones realizadas.
8. Designación del Delegado de Protección de Datos (DPD)
Para organizaciones obligadas (sector público y empresas con tratamiento masivo de datos sensibles o monitoreo sistemático), la designación formal del DPD conforme a los Arts. 49-51 es requisito. Para los demás, es altamente recomendable. El DPD debe tener un canal de comunicación publicado y operativo.
9. Capacitación del personal
Las personas que tratan datos personales deben estar capacitadas en las obligaciones de la Ley 21.719. Las capacitaciones deben ser periódicas — no un evento único — y quedar registradas con fechas, participantes y contenido.
10. Gobernanza y rendición de cuentas
El programa debe tener respaldo de la alta dirección, mecanismos de supervisión interna (auditorías, indicadores, comité de privacidad) y procesos de actualización ante cambios legales, tecnológicos o de negocio.
La conexión con la Ley 20.393: compliance que ya existe
Chile tiene una cultura de compliance establecida a partir de la Ley 20.393, que establece la responsabilidad penal de las personas jurídicas por una lista creciente de delitos — lavado de activos, financiamiento del terrorismo, cohecho, entre otros. Para mitigar esa responsabilidad, las organizaciones deben demostrar que tienen un modelo de prevención de delitos eficaz.
Esto significa que muchas organizaciones chilenas ya operan con la lógica de compliance: políticas aprobadas por el directorio, procedimientos documentados, capacitaciones, auditorías y controles internos. El programa de cumplimiento en protección de datos bajo la Ley 21.719 puede integrarse a esta infraestructura existente — y en muchos casos, debe hacerlo.
Elementos compartidos entre Ley 20.393 y Ley 21.719
| Elemento | Ley 20.393 (prevención de delitos) | Ley 21.719 (protección de datos) |
|---|---|---|
| Compromiso de la alta dirección | Directorio aprueba el modelo | Dirección respalda el programa de privacidad |
| Encargado de prevención / DPD | Encargado de prevención (independiente) | Delegado de Protección de Datos |
| Identificación de riesgos | Mapa de riesgos de delitos | EIPD, RAT, análisis de bases legales |
| Procedimientos documentados | Protocolos de denuncia, debida diligencia | Atención de titulares, incidentes, encargados |
| Capacitación | Entrenamiento en prevención | Capacitación en protección de datos |
| Supervisión y auditoría | Auditoría del modelo de prevención | Auditoría del programa de privacidad |
| Actualización | Revisión ante cambios legales | Revisión ante regulación APDP y cambios tecnológicos |
Una organización que ya tiene implementado el modelo de prevención de la Ley 20.393 tiene la estructura organizacional para integrar el cumplimiento de la Ley 21.719. El esfuerzo adicional es menor del que podría anticiparse — y la combinación produce un programa de gobernanza robusto que cubre tanto el riesgo penal como el regulatorio de protección de datos.
Frameworks de referencia
En ausencia de normas técnicas específicas publicadas por la APDP (que comenzará a emitir regulación secundaria desde diciembre de 2026), las organizaciones deben apoyarse en frameworks internacionales reconocidos:
ISO/IEC 27701 — Gestión de privacidad
La ISO 27701 es la extensión de la ISO 27001 para privacidad y protección de datos. Proporciona un sistema estructurado de controles organizacionales y técnicos para cumplir con los requisitos de la Ley 21.719 y otros marcos regulatorios. Su certificación funciona como evidencia de efectividad del programa de cumplimiento ante la APDP.
- Para responsables del tratamiento: controles de consentimiento, derechos de titulares, privacy by design, EIPD
- Para encargados del tratamiento: instrucciones del responsable, subcontratación, transferencias internacionales
- Requisito previo: la ISO 27701 extiende la ISO 27001 — la organización debe primero implementar seguridad de la información
NIST Privacy Framework 2.0
Framework gratuito del National Institute of Standards and Technology de EE.UU., organizado en cinco funciones: Identify-P, Govern-P, Control-P, Communicate-P y Protect-P. Escalable desde startups hasta multinacionales, y especialmente útil para organizaciones que ya adoptan el NIST Cybersecurity Framework para seguridad.
Ciclo PDCA aplicado a privacidad
El ciclo Plan-Do-Check-Act es el motor de mejora continua que sustenta cualquier programa de cumplimiento eficaz:
| Fase | Acción en el programa de privacidad |
|---|---|
| Plan | Definir alcance, RAT, política de privacidad, evaluación de riesgos, bases legales |
| Do | Implementar controles, capacitar equipos, operacionalizar canal de titulares |
| Check | Auditar cumplimiento, medir indicadores, revisar incidentes, evaluar eficacia |
| Act | Corregir no conformidades, actualizar políticas, incorporar lecciones aprendidas |
El ciclo se repite continuamente — el principio de responsabilidad activa exige exactamente esto: un sistema que se actualiza ante cambios en el entorno regulatorio, tecnológico y de negocio.
Cómo construir el programa: cuatro fases
Fase 1: Fundación (meses 1-3)
- Compromiso de la alta dirección — obtener aprobación formal del programa de privacidad (acta del directorio, resolución o instrucción del nivel ejecutivo)
- Designación del DPD — conforme a los Arts. 49-51, con acto escrito e información publicada en el sitio web
- Inventario de actividades de tratamiento (RAT) — mapear todos los tratamientos: qué datos, para qué finalidad, con qué base legal, durante cuánto tiempo, con quién se comparten
- Aviso de privacidad — publicar información al titular en el sitio web y comunicaciones principales
Fase 2: Estructuración (meses 4-6)
- Evaluación de riesgos — conducir evaluación sistemática; elaborar EIPD para tratamientos de alto riesgo
- Políticas y procedimientos — desarrollar protocolos para: atención a titulares, gestión de incidentes, gestión de encargados (DPA), retención y eliminación de datos
- Controles de seguridad — implementar medidas técnicas y organizativas proporcionales al riesgo (Art. 14)
- Capacitación inicial — formar a todos los colaboradores que traten datos personales
Fase 3: Operación (meses 7-12)
- Canal de atención a titulares — operacionalizar y documentar cada solicitud y respuesta
- Gestión de encargados — revisar contratos con proveedores; formalizar DPAs con cláusulas adecuadas
- Monitoreo — implementar indicadores de cumplimiento; registrar incidentes y no conformidades
- Comité de privacidad — instituir comité multidisciplinario con reuniones periódicas
Fase 4: Madurez (año 2 en adelante)
- Auditoría interna — conducir primera auditoría formal del programa; documentar hallazgos y planes de acción
- Actualización regulatoria — seguir la regulación secundaria de la APDP; actualizar políticas conforme a nuevas normas
- Métricas de eficacia — producir informes periódicos: solicitudes atendidas, incidentes gestionados, capacitaciones realizadas, no conformidades corregidas
- Certificación (opcional) — evaluar la viabilidad de certificación ISO 27001/27701
El programa como atenuante de sanciones de la APDP
La Ley 21.719 establece un régimen sancionatorio con tres categorías de infracción (leve, grave y gravísima) y un sistema de dosimetría que considera circunstancias atenuantes y agravantes. Entre los factores que la APDP evaluará al graduar la severidad de una sanción se encuentran:
- La existencia de un programa de cumplimiento documentado y activo antes del incidente
- La adopción de medidas de seguridad proporcionales al tipo y volumen de datos tratados
- La pronta adopción de medidas correctivas al detectar la infracción
- La cooperación con la APDP durante el proceso investigativo
- La notificación oportuna de la brecha dentro del plazo de 72 horas
Una organización que puede presentar su RAT, sus políticas de seguridad, sus contratos DPA, sus registros de capacitación y sus evaluaciones de impacto tiene una posición radicalmente distinta ante una sanción que una que no puede demostrar ninguna de estas acciones.
El programa de cumplimiento no evita incidentes — reduce su probabilidad y, cuando ocurren, limita las consecuencias. Es el seguro antes del siniestro y el atenuante después.
Errores frecuentes
| Error | Riesgo | Corrección |
|---|---|---|
| Programa como documento estático | No demuestra responsabilidad activa; se desactualiza | Implementar ciclo PDCA con revisiones periódicas |
| Programa limitado a datos de clientes | Ignora datos de colaboradores, proveedores, visitantes | Incluir todos los tratamientos en el RAT |
| Capacitación única al inicio | Pérdida de eficacia; no evidencia compromiso continuo | Capacitaciones anuales con registro de participación |
| Privacidad desconectada de la gobernanza corporativa | No se integra al modelo de prevención de Ley 20.393 | Conectar al comité de compliance, auditoría y gestión de riesgos |
| No producir evidencias documentales | Incapacidad de demostrar cumplimiento ante la APDP | Documentar todo: actas, informes, registros, métricas |
| Esperar la regulación secundaria de la APDP para comenzar | Exposición a sanciones desde diciembre 2026 | Comenzar con el marco disponible; ajustar cuando llegue la regulación |
| Tratar el DPA con encargados como burocracia | Sin contrato, el responsable absorbe toda la responsabilidad sin derecho a repetición | Formalizar DPAs con todos los proveedores que traten datos |
Conclusión
El principio de responsabilidad activa de la Ley 21.719 transforma la pregunta de "¿cumplimos la ley?" en "¿podemos demostrar que cumplimos la ley?". La diferencia no es semántica — es operacional.
Una organización que construye su programa de cumplimiento antes de diciembre de 2026 no solo reduce el riesgo de sanción: está en posición de responder con evidencias cuando la APDP fiscalice, cuando un titular reclame, o cuando un tribunal evalúe responsabilidad civil. Y en el contexto chileno, donde muchas organizaciones ya operan con la disciplina de compliance de la Ley 20.393, el salto hacia un programa de protección de datos estructurado es menor de lo que parece.
La responsabilidad activa no es un gasto — es la diferencia entre cumplir y poder probarlo.
Confidata implementa el programa de cumplimiento de forma estructurada: inventario automatizado de actividades de tratamiento, gestión de bases legales, canal de atención a titulares con SLA, registro de incidentes y métricas de cumplimiento que demuestran responsabilidad activa ante la APDP. Conozca nuestra plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.