Responsable y Encargado bajo la Ley 21.719: Contratos, Obligaciones y Responsabilidades
Cuando una empresa contrata un proveedor de software que aloja datos de sus clientes, o una institución de salud externaliza la gestión de fichas médicas, o un e-commerce usa una plataforma de e-mail marketing con servidores en el extranjero — en todos esos casos existe una relación que la Ley 21.719 regula de forma específica: la relación entre el responsable del tratamiento y el encargado del tratamiento.
Entender quién es quién, qué obligaciones corresponden a cada rol, y cómo formalizar esa relación no es un detalle jurídico menor. Es la base de la cadena de responsabilidad en protección de datos — y uno de los puntos que la Agencia de Protección de Datos Personales (APDP) verificará cuando fiscalice a su organización.
Responsable vs. Encargado: la distinción fundamental
La Ley 21.719 establece una distinción central que atraviesa todo el régimen de protección de datos:
Responsable del tratamiento — quien decide sobre los fines y medios del tratamiento de datos personales. Define para qué se tratan los datos, con qué base legal, por cuánto tiempo y bajo qué condiciones. La responsabilidad jurídica principal ante la APDP y ante los titulares recae sobre él.
Encargado del tratamiento — quien trata datos personales por cuenta y bajo las instrucciones del responsable. Ejecuta el tratamiento, pero no decide autónomamente sobre sus fines ni sus medios principales. Responde ante el responsable por el cumplimiento de esas instrucciones y ante la APDP cuando viola sus obligaciones propias.
Ejemplos prácticos
| Situación | Responsable | Encargado |
|---|---|---|
| Empresa usa software de RRHH en la nube | Empresa empleadora | Proveedor del software |
| Hospital externaliza análisis de laboratorio | Hospital | Laboratorio externo |
| Municipalidad usa plataforma de atención ciudadana | Municipalidad | Empresa proveedora de la plataforma |
| E-commerce usa pasarela de pagos | E-commerce | Proveedor de la pasarela |
| Universidad usa plataforma de e-learning | Universidad | Empresa de la plataforma |
La distinción no la define el contrato — la define la realidad operacional. Si el proveedor toma decisiones autónomas sobre cómo y para qué usa los datos (por ejemplo, para entrenar sus propios modelos de IA), puede dejar de ser encargado y convertirse en responsable de esa finalidad adicional.
Las obligaciones del responsable del tratamiento
El responsable del tratamiento es quien asume el peso principal del cumplimiento de la Ley 21.719. Sus obligaciones incluyen:
1. Cumplimiento de los principios del Art. 3°
El responsable debe asegurar que todos sus tratamientos observen los principios de la Ley 21.719: licitud, lealtad, limitación de finalidad, proporcionalidad, calidad de los datos, responsabilidad activa, seguridad, transparencia y confidencialidad.
No basta con declarar que se cumplen — debe ser capaz de demostrarlo ante la APDP, ante titulares y en procesos judiciales.
2. Mantener el Registro de Actividades de Tratamiento (RAT)
El responsable debe mantener un inventario actualizado de todas sus actividades de tratamiento, con descripción de finalidades, bases legales, categorías de datos, titulares, encargados, transferencias internacionales y medidas de seguridad aplicadas.
3. Implementar medidas de seguridad técnicas y organizativas
El responsable debe adoptar medidas proporcionales al riesgo para proteger los datos de accesos no autorizados, pérdida, alteración o tratamiento ilícito.
4. Informar a los titulares
El responsable tiene el deber de informar a los titulares sobre el tratamiento de sus datos mediante aviso de privacidad claro y accesible.
5. Atender solicitudes de titulares
El responsable debe responder dentro del plazo legal a las solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo.
6. Notificar incidentes de seguridad
Cuando ocurra una brecha que represente riesgo razonable para los derechos de los titulares, el responsable debe notificar a la APDP y a los afectados (Art. 14 sexies de la Ley 21.719).
7. Designar Delegado de Protección de Datos (cuando corresponda)
Para el sector público y empresas cuya actividad principal implique tratamiento masivo de datos sensibles o monitoreo sistemático a gran escala, la designación del DPD es obligatoria (Art. 13 de la Ley 21.719).
8. Verificar al encargado
El responsable no puede "contratar y olvidar". Tiene la obligación de verificar que el encargado cumple sus instrucciones y la ley. Esta verificación debe ser activa y documentada.
Las obligaciones del encargado del tratamiento
El encargado tiene sus propias obligaciones bajo la Ley 21.719:
1. Tratar datos solo según las instrucciones del responsable
El encargado no puede tratar los datos para fines propios ni compartirlos con terceros sin autorización del responsable. Si lo hace, se convierte en responsable de esa finalidad no autorizada — con las consecuencias jurídicas correspondientes.
2. Garantizar la seguridad de los datos
El encargado tiene deber propio de seguridad. No puede excusarse señalando que el responsable "no exigió" determinadas medidas — las medidas básicas de protección son obligatorias por ley, independientemente del contrato.
3. Mantener confidencialidad
Todos los funcionarios y colaboradores del encargado que accedan a datos personales deben estar sujetos a obligaciones de confidencialidad — que deben estar documentadas.
4. Cooperar con el responsable
El encargado debe cooperar para que el responsable pueda atender las solicitudes de los titulares y cumplir sus obligaciones ante la APDP.
5. Notificar incidentes al responsable
Si el encargado detecta una brecha de seguridad, debe notificarla al responsable de forma inmediata, para que este pueda tomar las decisiones de notificación a la APDP y a los titulares dentro del plazo de 72 horas.
6. Eliminar o devolver los datos al término del contrato
Al finalizar la relación contractual, el encargado debe devolver los datos al responsable o eliminarlos de forma segura, salvo que exista obligación legal de conservarlos.
El contrato entre responsable y encargado: el DPA chileno
La Ley 21.719 requiere que la relación responsable-encargado esté formalizada en instrucciones documentadas, preferentemente en un contrato escrito (análogo al Data Processing Agreement europeo o al DPA internacional). Sin este documento, el responsable carece de evidencia de que proporcionó instrucciones adecuadas — y su exposición en caso de incidente se multiplica.
Cláusulas mínimas que debe contener el contrato
| Cláusula | Contenido |
|---|---|
| Objeto y finalidad | Descripción exacta de los datos que serán tratados y para qué finalidad |
| Instrucciones del responsable | Operaciones autorizadas y prohibidas expresamente |
| Subcontratación | Si el encargado puede contratar sub-encargados, con qué condiciones y obligación de informar al responsable |
| Medidas de seguridad | Controles técnicos y organizativos exigidos al encargado |
| Notificación de incidentes | Plazo y procedimiento para informar brechas al responsable (recomendado: máximo 24 horas para permitir al responsable cumplir con las 72 horas ante la APDP) |
| Derechos de los titulares | Cómo el encargado cooperará para atender solicitudes |
| Devolución/eliminación | Qué ocurre con los datos al término del contrato |
| Derecho de auditoría | Derecho del responsable de verificar el cumplimiento del encargado |
| Responsabilidad y regreso | Límites de responsabilidad y obligación del encargado de indemnizar al responsable por daños causados por su incumplimiento |
| Transferencias internacionales | Si los datos saldrán de Chile, base legal aplicable |
El contrato como escudo y como riesgo
Un contrato bien redactado protege al responsable en dos sentidos:
- Ante la APDP: demuestra que instruyó correctamente al encargado y verificó su cumplimiento.
- Ante el titular: habilita el derecho de regreso — si el encargado causó el daño, el responsable puede repetir contra él.
Sin contrato, o con un contrato genérico que no especifica instrucciones reales, el responsable absorbe toda la responsabilidad, incluso por fallas que fueron del encargado.
Sub-encargados: la cadena se extiende
Los encargados frecuentemente subcontratan servicios que involucran datos personales — servidores de cloud, plataformas de analytics, proveedores de soporte técnico. Cada uno de ellos que acceda a datos personales del responsable original se convierte en un sub-encargado.
La Ley 21.719 requiere que:
- El contrato original prevea si el encargado puede subcontratar, y bajo qué condiciones (autorización general previa o aprobación caso a caso del responsable).
- El encargado imponga al sub-encargado las mismas obligaciones de protección de datos que tiene él mismo.
- El encargado siga siendo responsable ante el responsable original por las acciones del sub-encargado.
Ejemplo práctico: una empresa usa un CRM (encargado) que almacena datos en AWS (sub-encargado) y envía notificaciones a través de una plataforma de e-mail marketing (otro sub-encargado). Cada uno de esos vínculos debe estar documentado y regulado.
Cuándo el encargado se convierte en responsable
Esta es la zona gris más crítica de la relación responsable-encargado. Si el encargado:
- Comienza a usar los datos para sus propios fines (por ejemplo, para perfilamiento comercial propio, investigación de mercado interna, o entrenamiento de IA)
- Define autónomamente la base legal de algún tratamiento sin instrucción del responsable
- Comparte los datos con terceros sin autorización del responsable
- Decide prolongar la retención más allá de lo acordado con el responsable
...deja de actuar como encargado en esa dimensión y asume el rol de responsable. Esto significa que se convierte en destinatario directo de las obligaciones y sanciones de la Ley 21.719 por esa actividad.
La APDP evalúa los roles con base en la realidad operacional, no solo en lo que dice el contrato. Un contrato que denomina a una parte "encargado" pero que en la práctica actúa con autonomía decisoria no garantiza ese estatus jurídico.
Solidaridad entre responsable y encargado
Cuando el tratamiento de datos causa daño a un titular, tanto el responsable como el encargado pueden responder. La Ley 21.719 establece un régimen que contempla la responsabilidad solidaria en determinados casos:
- Si el encargado incumple sus instrucciones o la ley, responde directamente ante el titular y puede equipararse al responsable.
- El responsable que indemnice al titular puede ejercer el derecho de regreso contra el encargado en la medida de su participación en el daño.
Esto refuerza la importancia de tener un contrato claro: el derecho de regreso depende de poder demostrar qué instrucciones se dieron, cuáles fueron incumplidas y qué daño causó el incumplimiento del encargado.
Verificación del encargado: no es opcional
El responsable tiene la obligación de verificar que el encargado cumple las instrucciones. No basta confiar — hay que documentar.
Mecanismos habituales de verificación:
- Auditorías periódicas de los procesos del encargado (presenciales o documentales)
- Informes de cumplimiento que el encargado proporciona periódicamente
- Certificaciones de seguridad reconocidas (ISO 27001, SOC 2)
- Cláusulas de inspección en el contrato — derecho explícito de revisar los sistemas del encargado
- SLAs de privacidad con métricas de protección de datos incluidas
La ausencia de verificación convierte al responsable en un actor negligente frente a la APDP — especialmente si el encargado causa un incidente que el responsable podría haber detectado con un control básico.
Errores frecuentes en la relación responsable-encargado
| Error | Riesgo | Corrección |
|---|---|---|
| Contratar proveedores sin contrato DPA | El responsable no tiene evidencia de instrucciones; asume toda la responsabilidad | Formalizar contrato DPA con cada proveedor que trate datos personales |
| Usar cláusulas genéricas de "cumplimiento legal" sin instrucciones específicas | APDP puede considerar que el responsable no instruyó adecuadamente | Especificar operaciones autorizadas, medidas de seguridad exigidas y procedimientos concretos |
| No verificar si el encargado subcontrata | Sub-encargados sin regulación; cadena de responsabilidad rota | Exigir notificación de sub-encargados y fluir las mismas obligaciones contractualmente |
| No incluir plazo de notificación de incidentes | El encargado puede demorar en informar; el responsable pierde el plazo de 72 horas ante la APDP | Establecer en el contrato un plazo máximo de 24 horas para notificación del encargado al responsable |
| No auditar periódicamente al encargado | Responsable negligente si el encargado falla | Incluir derecho de auditoría en el contrato y ejercerlo al menos una vez al año para proveedores críticos |
| Confundir el rol basándose solo en el contrato | La APDP evalúa la realidad operacional | Asegurarse de que los roles contractuales coincidan con la práctica real |
La relación con el ecosistema de proveedores TI
Para la mayoría de las organizaciones chilenas, la relación responsable-encargado se materializa principalmente en contratos con:
Proveedores de cloud (AWS, Google Cloud, Microsoft Azure, Oracle) — típicamente operan como encargados cuando almacenan o procesan datos personales por cuenta de la organización. La mayoría ofrece su propio DPA estándar, pero el responsable debe verificar que cumple con los requisitos de la Ley 21.719.
Software como servicio (SaaS) — CRM, ERP, plataformas de RRHH, sistemas de salud, herramientas de marketing — son encargados típicos. Revisar las condiciones de tratamiento de datos en los contratos de estos servicios es un paso crítico del programa de cumplimiento.
Procesadores de pago — encargados para los datos de transacciones. Generalmente tienen sus propios programas de cumplimiento (PCI-DSS), pero la relación con la Ley 21.719 debe estar documentada.
Conclusión
La distinción entre responsable y encargado no es un tecnicismo — es el eje de la cadena de responsabilidad en protección de datos. El responsable decide y responde ante la ley y ante los titulares. El encargado ejecuta bajo instrucciones y responde ante el responsable. Cuando esa línea se difumina — por autonomía de hecho del encargado, por instrucciones insuficientes, por ausencia de contrato — la cadena se rompe.
Con la APDP comenzando a operar en diciembre de 2026, las organizaciones que no hayan formalizado la relación con sus encargados estarán expuestas en uno de los primeros vectores de fiscalización: la capacidad de demostrar que se controla qué hacen los proveedores con los datos personales de los clientes, colaboradores y usuarios.
El contrato DPA no es burocracia. Es la evidencia de que la organización gestiona, instruye y verifica — no solo procesa datos.
Confidata permite gestionar el ciclo completo de la relación responsable-encargado: registro de proveedores que tratan datos, vinculación al Registro de Actividades de Tratamiento (RAT), gestión de contratos DPA y alertas de revisión periódica. Todo lo que la APDP necesita ver cuando fiscalice su cadena de proveedores. Conozca nuestra plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.