Cumplimiento11 min de lectura

Responsabilidad compartida en la Ley 21.719: qué ocurre cuando su proveedor filtra datos

Equipo Confidata·
Compartir

Imagine este escenario: su empresa contrató una plataforma de automatización de marketing que tiene acceso a la base completa de correos electrónicos de sus clientes. La plataforma sufre un ataque de ransomware. Los datos de 500.000 clientes suyos son exfiltrados y publicados en la dark web. ¿Quién responde?

La respuesta de la Ley 21.719 no es simple. Y ciertamente no es "solo el proveedor, porque fue él quien fue atacado". Entender cómo la ley distribuye la responsabilidad entre responsables y encargados del tratamiento es fundamental para cualquier gestor que contrate servicios que involucren datos personales.

Responsable y encargado: roles distintos, responsabilidades distintas

La Ley 21.719 distingue a los actores del tratamiento en dos categorías principales:

Responsable del tratamiento: La persona natural o jurídica que toma las decisiones sobre el tratamiento de datos — qué datos recopilar, para qué finalidad, por cuánto tiempo, con quién compartir. En regla general, es la empresa que tiene la relación directa con el titular de los datos (el cliente, el trabajador, el usuario).

Encargado del tratamiento: La persona natural o jurídica que realiza el tratamiento de datos por cuenta del responsable, siguiendo sus instrucciones. Es el proveedor que procesa datos ajenos por delegación contractual — el proveedor de SaaS, la empresa de call center, el procesador de nómina, la plataforma de email marketing.

En el ejemplo: su empresa es la responsable de los datos de los clientes. La plataforma de automatización de marketing es la encargada.

La base de la responsabilidad en la Ley 21.719

La Ley 21.719 establece que el responsable o el encargado que, en ejercicio de actividades de tratamiento de datos personales, cause daño a otra persona en violación a las normas de protección de datos, está obligado a repararlo.

Dos aspectos críticos de este régimen:

Primero: La responsabilidad recae sobre el responsable o el encargado — el titular afectado puede accionar a cualquiera de los dos, independientemente de quién fue directamente responsable del daño.

Segundo: El encargado responde solidariamente por los daños causados por el tratamiento cuando incumpla las obligaciones de la legislación de protección de datos o cuando no haya seguido las instrucciones lícitas del responsable — hipótesis en las que el encargado deja de ser mero ejecutor y asume responsabilidad propia.

En la práctica: el titular puede demandar tanto al responsable como al encargado — y ambos pueden responder solidariamente conforme a las reglas de responsabilidad civil del Código Civil chileno (Arts. 2314 y siguientes).

Cuándo el responsable responde por el acto del encargado

El responsable no es automáticamente responsable de todo lo que hace el encargado. Pero hay situaciones en las que su responsabilidad es inevitable:

Elección inadecuada del encargado: Si el responsable contrató un encargado claramente despreparado — sin políticas de seguridad, sin DPA adecuado, sin historial confiable — y eso contribuyó al incidente, la elección inadecuada puede ser elemento del nexo causal. La obligación de responsabilidad activa (accountability) de la Ley 21.719 sustenta este razonamiento.

Ausencia de instrucciones claras: Si el responsable no proporcionó al encargado instrucciones claras sobre cómo tratar los datos — qué datos acceder, con qué finalidad, qué controles mantener — la ausencia de instrucción puede interpretarse como negligencia del responsable.

Monitoreo inexistente: Contratar un encargado y nunca verificar si está cumpliendo las obligaciones contractuales y legales es un riesgo que la APDP considerará al evaluar el programa de cumplimiento del responsable.

Cuándo el encargado responde por cuenta propia

La Ley 21.719 establece que el encargado responde solidariamente cuando:

  1. Incumple las obligaciones de la legislación de protección de datos — por ejemplo, un encargado que procesa datos para una finalidad diferente a la contratada, que comparte datos con terceros sin autorización del responsable, o que no implementa medidas básicas de seguridad
  2. No sigue las instrucciones lícitas del responsable — cuando el DPA define obligaciones específicas y el encargado las ignora

En estas hipótesis, el encargado deja de ser un ejecutor pasivo y asume responsabilidad propia. El responsable que dio instrucciones adecuadas puede tener su responsabilidad reducida o excluida — pero el titular sigue pudiendo accionar a ambos.

Las excluyentes de responsabilidad

La Ley 21.719 prevé que los responsables y encargados no serán responsabilizados cuando acrediten que:

  • No realizaron el tratamiento de datos que se les atribuye
  • Aunque realizaron el tratamiento, no hubo violación a la legislación de protección de datos
  • El daño se deriva de culpa exclusiva del titular o de un tercero

La excluyente por culpa exclusiva de un tercero es frecuentemente invocada en casos de ataques cibernéticos sofisticados. Sin embargo, su aplicación tiene límites: si el ataque explotó una vulnerabilidad conocida para la que existía parche disponible y no aplicado, o si el acceso fue facilitado por ausencia de controles básicos, la culpa exclusiva del atacante difícilmente podrá sostenerse.

Sobre la naturaleza de la responsabilidad: Quien alega ser víctima debe demostrar el daño y la relación con el tratamiento. Pero el responsable o encargado debe probar que actuó conforme a la ley o que se aplica una excluyente. En la práctica, el peso recae sobre los actores del tratamiento para demostrar que cumplieron con sus obligaciones — no sobre el titular lesado.

Lo que la APDP puede hacer: sanciones administrativas

Más allá de la responsabilidad civil (indemnización a los titulares), la Agencia de Protección de Datos Personales (APDP) tiene competencia para aplicar sanciones administrativas al responsable y al encargado de forma independiente. Las sanciones bajo la Ley 21.719 incluyen:

  • Amonestación con plazo para corrección
  • Multa base según gravedad de la infracción:
    • Leve: hasta 5.000 UTM (~CLP 360 millones)
    • Grave: hasta 10.000 UTM (~CLP 720 millones)
    • Gravísima: hasta 20.000 UTM (~CLP 1.440 millones)
  • Para responsables de gran tamaño: puede alcanzar el 2%, 3% o 4% de los ingresos anuales según la gravedad
  • Publicación de la infracción
  • Suspensión temporal del tratamiento de datos
  • Prohibición del tratamiento de datos relacionados con la infracción

Punto crítico: La APDP puede investigar al encargado directamente, sin necesidad de investigar solo al responsable. Un proveedor que filtra datos de múltiples clientes puede ser investigado por la APDP independientemente de qué responsable lo contrató.

El papel del DPA en la distribución de responsabilidades

El DPA (Acuerdo de Tratamiento de Datos o Data Processing Agreement) es el instrumento contractual que define cómo el responsable y el encargado distribuyen responsabilidades. Un DPA bien estructurado cumple dos propósitos: satisface el requisito de la Ley 21.719 (el encargado debe tratar los datos conforme a las instrucciones del responsable) y documenta la distribución de responsabilidad que protegerá a su organización en caso de incidente.

Cláusulas que limitan la responsabilidad del responsable:

  • Definición clara de las instrucciones del responsable al encargado
  • Obligaciones específicas de seguridad que el encargado debe implementar
  • Plazo máximo de 24-48 horas para que el encargado notifique al responsable sobre incidentes (creando evidencia de que usted cumplió el plazo de 72 horas ante la APDP)
  • Derecho de auditoría para verificar el cumplimiento de las obligaciones
  • Obligación del encargado de no subcontratar sub-encargados sin aprobación previa

Cláusulas que distribuyen el riesgo financiero:

  • Limitación de responsabilidad del encargado vinculada al valor del contrato o a un valor fijo proporcional al riesgo
  • Obligación del encargado de mantener seguro de responsabilidad cibernética con cobertura adecuada
  • Indemnización por parte del encargado en caso de incidente causado por falla suya

Escenarios prácticos y cómo responden los actores

Escenario 1: Ataque de ransomware que explota una vulnerabilidad con parche disponible hace 3 meses

  • Encargado: Alta probabilidad de responsabilidad por falla en la gestión de parches — no es culpa exclusiva de un tercero
  • Responsable: Depende de si verificó (o no) las prácticas de seguridad del encargado antes y durante el contrato

Escenario 2: Un empleado del encargado vende datos a terceros (amenaza interna)

  • Encargado: Responsabilidad alta — deber de controlar a sus colaboradores e implementar controles contra acceso indebido (monitoreo, separación de funciones, control de acceso mínimo)
  • Responsable: Responsabilidad reducida si contrató a un encargado calificado con DPA adecuado y verificó los controles durante el contrato

Escenario 3: El encargado comparte datos con un sub-encargado no autorizado que los filtra

  • Encargado: Responsabilidad directa — violó las instrucciones del responsable al contratar un sub-encargado no aprobado
  • Responsable: Puede demostrar que el DPA prohibía sub-encargados sin aprobación previa

Escenario 4: El responsable dio instrucciones ambiguas y el encargado las interpretó de forma que causó uso indebido

  • Responsable: Responsabilidad elevada — instrucción inadecuada es falla del responsable
  • Encargado: Puede argumentar que siguió las instrucciones recibidas

Cómo proteger su organización: checklist de acciones

Antes de la contratación:

  • ¿Clasificó al proveedor por nivel de riesgo (Tier 1/2/3) según los datos a los que accederá?
  • ¿Evaluó el programa de privacidad del proveedor (due diligence de privacidad)?
  • ¿Firmó DPA con cláusulas completas de protección de datos ANTES del inicio del servicio?

En el contrato:

  • ¿Instrucciones claras al encargado documentadas en el DPA (finalidad, datos, plazos, controles)?
  • ¿Obligación de notificación de incidentes en plazo compatible con las 72 horas de la APDP (≤ 48 horas del encargado al responsable)?
  • ¿Prohibición de sub-encargados sin aprobación previa?
  • ¿Derecho de auditoría ejercitable por el responsable?
  • ¿Cláusula de indemnización por parte del encargado en caso de falla suya?

Durante el contrato:

  • ¿Monitoreo periódico (anual para Tier 1, bienal para Tier 2)?
  • ¿Revisión de incidentes reportados por el encargado?
  • ¿Actualización del DPA cuando haya cambios significativos en el alcance del servicio?

Conclusión

La filtración de datos por parte de su proveedor no es "el problema del proveedor" — también es el suyo. La Ley 21.719 fue construida para proteger a los titulares de los datos, y la protección efectiva exige que tanto quien decide como quien ejecuta el tratamiento respondan por sus respectivas responsabilidades.

La protección jurídica del responsable pasa por tres elementos: selección diligente del encargado (due diligence de privacidad), documentación adecuada de las instrucciones (DPA completo) y monitoreo continuo del cumplimiento de esas instrucciones. Las organizaciones que no cuentan con esos tres elementos están expuestas — y la APDP tiene atribuciones para investigar a toda la cadena cuando ocurra un incidente significativo.

Confidata centraliza la gestión de proveedores y encargados con seguimiento de DPAs, historial de evaluaciones de privacidad, alertas de renovación y registro de incidentes reportados por encargados — creando el registro de cumplimiento que protege al responsable en investigaciones de la APDP.

Compartir
#responsabilidad compartida Ley 21719#proveedor filtración datos#encargado responsable responsabilidad#Ley 21719 Art responsabilidad#indemnización titular Ley 21719#sanción APDP proveedor

Artículos relacionados

Programa de Gobernanza en Privacidad — Arts. 49-51 de la Ley 21.719 en la PrácticaCumplimiento · 15 minSanciones e Infracciones bajo la Ley 21.719: Leve, Grave y GravísimaCumplimiento · 15 minResponsabilidad Activa: Cómo Construir un Programa de Cumplimiento en Protección de Datos bajo la Ley 21.719Cumplimiento · 14 minResponsabilidad Civil por Tratamiento de Datos bajo la Ley 21.719: Quién Responde y CómoCumplimiento · 14 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista