Programa de Gobernanza en Privacidad — Arts. 49-51 de la Ley 21.719 en la Práctica
Los Arts. 49 a 51 de la Ley 21.719 establecen el Modelo de Prevención de Infracciones (MPI) — el marco voluntario que permite a los responsables del tratamiento formalizar su programa de gobernanza en privacidad. No es una obligación expresa — es una facultad. Pero en la práctica es mucho más que eso: la Ley 21.719 reconoce explícitamente que la adopción de un MPI certificado es una circunstancia atenuante en los procesos sancionatorios de la APDP.
Esta guía detalla cómo estructurar un programa de gobernanza en privacidad que cumpla los requisitos legales, genere evidencias auditables y — cuando sea necesario — demuestre buena fe ante la APDP.
El MPI: qué establece la Ley 21.719 y por qué importa
El Modelo de Prevención de Infracciones (Arts. 49-51)
El Art. 49 de la Ley 21.719 incentiva a los responsables del tratamiento a adoptar voluntariamente un Modelo de Prevención de Infracciones. El MPI es un programa de cumplimiento que establece:
- Políticas, procedimientos y controles para prevenir infracciones a la ley
- Mecanismos de supervisión interna y externa
- Procesos de respuesta a incidentes y remediación
- Acciones educativas y de concientización
- Designación de un Delegado de Protección de Datos (DPD) como elemento central del modelo
El Art. 50 permite la designación formal del DPD como responsable del MPI, con independencia funcional y reporte directo a la máxima autoridad de la organización.
El Art. 51 le otorga a la APDP la facultad de certificar, registrar y supervisar los MPI, con vigencia de 3 años renovable. Las certificaciones se publican en el Registro Nacional de Sanciones y Cumplimiento.
El vínculo con sanciones
La Ley 21.719 establece que contar con un MPI certificado o demostrar la adopción de mecanismos internos de prevención es una circunstancia atenuante que la APDP debe considerar al aplicar sanciones. En términos prácticos:
| Circunstancia | Efecto |
|---|---|
| MPI certificado por la APDP | Atenuante significativo — puede reducir la sanción |
| Programa de gobernanza documentado (sin certificación formal) | Atenuante menor — demuestra buena fe |
| Ausencia total de medidas de gobernanza | Sin atenuantes — puede ser agravante |
La lógica es la misma que en el GDPR europeo y en otros marcos de compliance: una organización que ha invertido genuinamente en prevención recibe trato diferente de una que opera sin ningún programa de protección de datos.
Los elementos esenciales del programa de gobernanza
Aunque la ley no establece un catálogo rígido de elementos obligatorios para el MPI, la práctica internacional consolidada y los estándares de referencia (ISO/IEC 27701, NIST Privacy Framework) identifican los siguientes componentes como esenciales:
a) Compromiso de la alta dirección
El programa debe demostrar el compromiso real de la alta dirección con la protección de datos personales.
En la práctica: carta o acuerdo formal de directorio declarando la protección de datos como prioridad organizacional; presupuesto dedicado; designación formal del DPD con mandato claro; inclusión de privacidad en los KPIs de gestión.
b) Aplicación a todo el conjunto de datos personales
El programa debe abarcar todos los datos personales bajo control del responsable, independientemente de cómo fueron recopilados.
En la práctica: el programa no puede cubrir solo el sitio web de la empresa e ignorar los datos de RRHH, proveedores u operaciones presenciales. Es comprehensivo o no es un programa de gobernanza.
c) Adaptación a la estructura, escala y volumen de operaciones
El programa debe ser proporcional a la naturaleza, complejidad y sensibilidad de los datos tratados.
En la práctica: una startup de 20 personas no necesita el mismo aparato que un banco con millones de clientes. Pero ambos necesitan un programa proporcional. La ausencia total de cualquier medida es agravante, independientemente del tamaño.
d) Políticas y salvaguardas basadas en evaluación sistemática de riesgos
El programa debe establecer políticas y salvaguardas adecuadas con base en un proceso sistemático de evaluación de impactos y riesgos.
En la práctica: esto exige una EIPD para actividades de mayor riesgo y una evaluación periódica de los riesgos de privacidad de todas las actividades de tratamiento.
e) Relación de confianza con los titulares mediante transparencia
El programa debe tener como objetivo establecer una relación de confianza con los titulares a través de una actuación transparente y mecanismos de participación.
En la práctica: canal del titular funcional y monitoreado, aviso de privacidad claro y accesible, procesos de respuesta a solicitudes dentro de los 30 días hábiles legales.
f) Integración con gobernanza corporativa
El programa debe estar integrado a la estructura general de gobernanza de la organización y establecer mecanismos de supervisión interna y externa.
En la práctica: el programa de privacidad no es una isla. Debe estar conectado al compliance general, a la gestión de riesgos corporativos y a la auditoría interna. El DPD debe reportar directamente a la alta dirección o al directorio.
g) Planes de respuesta a incidentes y remediación
El programa debe incluir planes de respuesta a incidentes y remediación documentados y probados.
En la práctica: un plan de respuesta a incidentes documentado, probado periódicamente, con responsabilidades claras, plazos de notificación a la APDP (72 horas) y procesos de remediación.
Diferencia entre programa de cumplimiento y programa de gobernanza
En la práctica, los términos se usan frecuentemente como sinónimos — pero tienen alcances diferentes:
Programa de gobernanza en privacidad (Arts. 49-51 Ley 21.719)
Es la capa estratégica y estructural. Engloba la cultura organizacional, la estructura de supervisión, los mecanismos de toma de decisión y la integración de la privacidad en la gobernanza corporativa.
Programa de cumplimiento (compliance)
Es la capa operacional y probatoria. Incluye los mecanismos, procesos y documentación que demuestran adherencia a las reglas de la Ley 21.719: registro de actividades, EIPDs, políticas escritas, registros de capacitación, logs de acceso. Materializa el principio de responsabilidad proactiva (Art. 3°(e)).
En la práctica
El programa de gobernanza contiene al de cumplimiento — pero va más allá. Gobernanza establece por qué y cómo la organización prioriza la privacidad. Cumplimiento produce las evidencias de que eso se está haciendo. Una organización puede tener documentos de compliance impecables y aun así fallar en gobernanza si no hay compromiso real del liderazgo, cultura de privacidad o supervisión efectiva.
Cómo formalizar el compromiso de la alta dirección
Acciones concretas
- Carta o acuerdo formal del CEO/Directorio declarando la protección de datos como prioridad organizacional
- Presupuesto dedicado — un programa sin presupuesto es declaración de intenciones, no compromiso
- Designación formal del DPD con mandato claro y autonomía técnica
- Inclusión de privacidad en los KPIs de gestión — si el desempeño se mide sin considerar protección de datos, el mensaje es que no importa
- Participación del liderazgo en capacitaciones y comunicaciones sobre privacidad
- Reporte directo del DPD a la alta dirección o al directorio — no enterrado en capas jerárquicas
Políticas necesarias para un programa completo
Políticas esenciales
| Política | Contenido central |
|---|---|
| Aviso de Privacidad (externo) | Cómo la organización trata los datos personales — para los titulares |
| Política de Protección de Datos (interno) | Directrices internas para trabajadores sobre tratamiento de datos |
| Política de Seguridad de la Información | Controles técnicos y administrativos de protección |
| Política de Retención y Descarte | Plazos de retención por tipo de dato y procedimiento de eliminación |
| Política de Respuesta a Incidentes | Procedimientos de detección, contención, notificación y remediación |
| Política de Cookies y Rastreo | Consentimiento y gestión de cookies en el sitio/app |
| Política de Uso de IA | Reglas para el uso de herramientas de IA generativa con datos personales |
Documentos operativos
| Documento | Finalidad |
|---|---|
| Registro de Actividades de Tratamiento | Inventario de todos los tratamientos de datos |
| EIPDs | Evaluación de impacto para tratamientos de alto riesgo (Art. 15 ter) |
| Contratos con Encargados | Contratos con encargados del tratamiento (procesadores de datos) |
| Registro de Base Jurídica | Documentación de la base jurídica para cada actividad |
| Registro de Solicitudes de Titulares | Log de todas las solicitudes recibidas y atendidas |
| Registro de Incidentes | Log de incidentes de seguridad (retención: mínimo 5 años) |
Capacitación y cultura de privacidad
La Ley 21.719 incluye las acciones educativas como elemento del MPI. La capacitación no es formalidad — es el mecanismo que transforma política en comportamiento.
Estructura recomendada
Capacitación general (todos los trabajadores):
- Qué es la Ley 21.719 y por qué importa
- Datos personales y datos sensibles — ejemplos del día a día
- Cómo identificar y reportar incidentes
- Derechos de los titulares y cómo gestionar solicitudes
- Frecuencia: anual, con refuerzos semestrales
Capacitación específica (por función):
- TI: seguridad de la información, controles de acceso, cifrado
- RRHH: datos de trabajadores, bases jurídicas para la relación laboral
- Marketing: consentimiento, interés legítimo, cookies
- Jurídico: contratos, encargados de datos, respuesta a incidentes
- Atención al cliente: cómo gestionar solicitudes de titulares
Evidencias:
- Lista de asistencia o registro digital de conclusión
- Evaluación de conocimientos (cuestionario)
- Certificados de participación
- Métricas de conclusión por departamento
Métricas e indicadores del programa
Un programa de gobernanza sin métricas no puede demostrar efectividad — y la APDP puede exigir evidencias de que el programa funciona.
Indicadores operativos
| Indicador | Meta sugerida |
|---|---|
| Solicitudes de titulares atendidas en el plazo | ≥ 95% |
| Tiempo promedio de respuesta a solicitudes | ≤ 20 días hábiles (legal: 30 días) |
| Incidentes notificados a la APDP en el plazo (72h) | 100% |
| Trabajadores capacitados en Ley 21.719 (último año) | ≥ 90% |
| Actividades de tratamiento con base jurídica documentada | 100% |
| Contratos formalizados con encargados del tratamiento | 100% |
| EIPDs elaboradas para actividades de alto riesgo | 100% |
Indicadores de madurez
| Indicador | Qué mide |
|---|---|
| Nivel de madurez del programa | Evolución a lo largo del tiempo (1–5) |
| Hallazgos de auditoría resueltos | Capacidad de remediación |
| Incidentes por trimestre | Tendencia (reducción = efectividad) |
| Reclamaciones de titulares procedentes | Calidad del tratamiento de datos |
Auditoría y revisión periódica
El programa de gobernanza no es un documento estático — debe revisarse periódicamente y su efectividad debe verificarse mediante auditoría.
Auditoría interna
- Frecuencia: anual
- Alcance: todas las políticas, procesos y controles del programa
- Foco: cumplimiento de la Ley 21.719, efectividad de los controles, adherencia a los procedimientos
- Resultado: informe de hallazgos con plan de acción y plazos
Auditoría externa
- Frecuencia: bianual o según exigencia regulatoria
- Beneficio: independencia y credibilidad ante la APDP
- Frameworks de referencia: ISO 27701 (certificable), NIST Privacy Framework (voluntario)
- Resultado: certificación o informe independiente
Revisión del programa
El programa debe revisarse al menos anualmente y de forma extraordinaria tras incidentes graves, cambios regulatorios o reorganizaciones. Documentar todas las revisiones: versión, fecha, cambios, responsable.
Publicidad del programa — sitio web e informe anual
En el sitio web de la organización
- Aviso de privacidad accesible en no más de dos clics desde la página de inicio
- Información del DPD (nombre, correo, canal de contacto)
- Canal del titular funcional y accesible
- Resumen del programa de gobernanza (opcional, pero demuestra madurez)
Informe anual de privacidad
No es obligatorio por la Ley 21.719, pero es una práctica que demuestra madurez y genera evidencias valiosas:
- Número de solicitudes de titulares recibidas y atendidas
- Incidentes reportados (sin detalles que comprometan la seguridad)
- Capacitaciones realizadas y tasa de conclusión
- Auditorías realizadas y hallazgos resueltos
- Inversiones en protección de datos
- Metas para el próximo período
Cómo el programa ayuda ante la APDP — evidencias de buena fe
Contar con un programa de gobernanza documentado e implementado genuinamente es la mejor defensa ante un proceso sancionatorio. Lo que genera evidencia:
- Programa de gobernanza documentado y fechado (anterior a la infracción)
- Políticas internas vigentes (no solo escritas, sino implementadas)
- Capacitaciones registradas con listas de asistencia y evaluaciones
- Auditorías realizadas con informes y planes de acción
- Canal del titular funcional con registros de atención
- Incidentes anteriores tratados adecuadamente
- EIPDs elaboradas para actividades de riesgo
Lo que NO genera evidencia:
- Programa creado después de la notificación de la APDP
- Políticas que existen solo en papel (sin implementación)
- Capacitaciones sin registro o evidencia
- DPD designado pero sin actuación real
- Canal del titular que nadie monitorea
La carga de la prueba recae en la organización — es ella quien debe demostrar que tenía el programa vigente. De ahí la importancia de fechar los documentos, registrar las capacitaciones y mantener los logs.
Frameworks de referencia
La Ley 21.719 no impone un framework específico. Dos referencias internacionales se destacan:
ISO/IEC 27701 (PIMS — Privacy Information Management System)
- Extensión de la ISO 27001 (seguridad de la información) para privacidad
- Certificable — auditoría externa con certificación
- Cubre responsables y encargados del tratamiento
- Actualizada en 2025 (ISO/IEC 27701:2025)
- Ideal para organizaciones que ya poseen la ISO 27001
NIST Privacy Framework (v1.0 — enero de 2020)
- Publicado por el National Institute of Standards and Technology (EE.UU.)
- No certificable — modelo voluntario y flexible
- Cinco funciones centrales: Identify-P, Govern-P, Control-P, Communicate-P, Protect-P
- Ideal para organizaciones que quieren un modelo más flexible
Ambos pueden servir como metodología estructurada para implementar los elementos del MPI — y como evidencia de que el programa sigue estándares internacionales reconocidos.
Checklist: programa de gobernanza en privacidad
Compromiso y estructura
- Carta o acuerdo formal de la alta dirección firmada y fechada
- Presupuesto dedicado a protección de datos aprobado
- DPD designado formalmente, con mandato y autonomía técnica
- Reporte directo del DPD a la alta dirección o al directorio
- Comité de privacidad constituido (si aplica al tamaño)
Políticas y documentación
- Aviso de privacidad (externo) publicado y actualizado
- Política de protección de datos (interno) aprobada y comunicada
- Política de seguridad de la información vigente
- Política de retención y descarte documentada
- Política de respuesta a incidentes probada
- Registro de actividades de tratamiento completo y actualizado
- EIPDs elaboradas para actividades de alto riesgo
- Contratos formalizados con todos los encargados del tratamiento
Operación y monitoreo
- Canal del titular funcional y monitoreado
- Proceso de atención a solicitudes de titulares documentado (30 días hábiles)
- Plan de respuesta a incidentes probado (simulación anual)
- Indicadores de desempeño definidos y seguidos
- Informe periódico de indicadores para el liderazgo
Capacitación y cultura
- Capacitación general anual para todos los trabajadores
- Capacitación específica por función
- Registros de capacitación archivados (asistencia, evaluaciones, certificados)
- Comunicación interna regular sobre privacidad
Auditoría y mejora continua
- Auditoría interna anual realizada
- Hallazgos de auditoría con plan de acción y plazos
- Revisión anual del programa documentada (versión, fecha, cambios)
- Ciclo PDCA implementado para mejora continua
Conclusión
El programa de gobernanza en privacidad de la Ley 21.719 no es burocracia — es la estructura que transforma la protección de datos de obligación legal en ventaja competitiva. Las organizaciones con programas maduros responden más rápido a incidentes, atienden a los titulares dentro de los plazos, generan evidencias para auditoría y — cuando es necesario — obtienen atenuantes en las sanciones.
La inversión es proporcional al tamaño: una empresa de 50 trabajadores necesita política, capacitación, canal del titular y DPD. Una clínica con 10.000 pacientes necesita todo eso más EIPDs, contratos con encargados, auditoría e indicadores. Lo importante es empezar, documentar y mejorar continuamente.
Confidata ofrece funcionalidades para estructurar y operar un programa de gobernanza en privacidad: inventario de actividades de tratamiento, gestión de EIPDs, documentación de evidencias de cumplimiento, canal del titular integrado e indicadores de madurez — todo en una plataforma que centraliza la gobernanza de protección de datos.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.