Seguridad de la Información y la Ley 21.719: Qué Exige el Deber de Seguridad en la Práctica
El Art. 14 bis de la Ley 21.719 establece que el responsable del tratamiento debe adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Es, al mismo tiempo, la obligación más importante y la más abierta de la ley — exige medidas de seguridad sin prescribir cuáles exactamente.
Esa apertura es deliberada: la ley considera factores como el estado del arte, los costos de implementación, la naturaleza de los datos, el alcance del tratamiento y los riesgos asociados. No existe una lista cerrada de controles que garantice el cumplimiento. Pero la Ley 21.719 ya está vigente — y la Agencia de Protección de Datos Personales (APDP), que comenzará a operar el 1 de diciembre de 2026, fiscalizará con base en este artículo.
Esta guía traduce la exigencia legal en medidas prácticas, organizadas por tipo y por nivel de madurez.
Qué exige realmente la Ley 21.719 en materia de seguridad
La ley organiza el deber de seguridad en varios artículos complementarios:
Art. 14 bis (deber de seguridad): obligación general de adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Considera el estado del arte, los costos de implementación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de los titulares.
Art. 14 quinquies (medidas de seguridad específicas): establece medidas concretas para impedir la destrucción, divulgación, pérdida o alteración no autorizadas de los datos. Incluye la obligación de implementar controles proporcionales al riesgo.
Art. 14 sexies (vulneraciones de seguridad): obliga a notificar vulneraciones de seguridad a la APDP en el plazo máximo de 72 horas desde que se tenga conocimiento del incidente. La comunicación a los titulares afectados debe hacerse sin demora indebida cuando el incidente pueda acarrear riesgo o daño relevante.
Art. 14 bis, inciso final (seguridad desde el diseño): las medidas de seguridad deben aplicarse desde la fase de concepción del producto o servicio — lo que se conoce como security by design.
Consulte también la guía sobre notificación de incidentes de seguridad bajo la Ley 21.719 para el detalle de los plazos y contenidos de la notificación.
Normas de referencia: el piso técnico
La Ley 21.719 no cita normas específicas, pero la práctica de mercado y la experiencia de reguladores equivalentes apuntan a un conjunto de referencias consolidadas:
ISO/IEC 27001 — Gestión de Seguridad de la Información
La norma internacional más reconocida para Sistemas de Gestión de Seguridad de la Información (SGSI). Define requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI. Contiene el Anexo A con 93 controles organizados en 4 temas (organizativos, personas, físicos y tecnológicos).
Relevancia: la ISO 27001 provee la estructura de gestión. Una organización certificada tiene una base sólida para cumplir con el Art. 14 bis — aunque la certificación no es obligatoria.
ISO/IEC 27701 — Gestión de Privacidad de la Información
Extensión de la ISO 27001 específicamente para privacidad. Define requisitos adicionales para un Sistema de Gestión de Privacidad de la Información (SGPI) y orienta sobre protección de datos personales.
Relevancia: es el estándar técnico más cercano al cumplimiento de legislaciones de protección de datos. Mapea controles específicos para responsables y encargados del tratamiento.
NIST Cybersecurity Framework (CSF)
Framework del National Institute of Standards and Technology (EE.UU.), ampliamente utilizado por empresas de tecnología e instituciones financieras en América Latina. Organiza controles en 6 funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar.
CIS Controls
Los 18 controles del Center for Internet Security son una aproximación práctica y priorizada. Los primeros 6 controles ("CIS Implementation Group 1") se consideran el mínimo para cualquier organización.
Guías de la APDP
La APDP publicará orientaciones técnicas una vez que esté operativa (diciembre de 2026). Mientras tanto, las organizaciones deben guiarse por las normas internacionales mencionadas y las prácticas recomendadas por reguladores equivalentes como la Agencia Española de Protección de Datos (AEPD) y el EDPB europeo, cuyas guías son compatibles con el marco de la Ley 21.719.
Medidas técnicas: qué implementar
Cifrado
En tránsito: toda comunicación que involucre datos personales debe usar TLS 1.2 o superior. Aplica a sitios web (HTTPS), APIs, correo corporativo y transmisión de archivos.
En reposo: los datos personales almacenados en bases de datos, respaldos y dispositivos móviles deben cifrarse. AES-256 es el estándar recomendado.
Nivel de exigencia por tipo de dato:
| Tipo de dato | Cifrado en tránsito | Cifrado en reposo |
|---|---|---|
| Datos básicos (nombre, email) | Obligatorio (TLS) | Recomendado |
| Datos financieros (tarjeta, cuenta) | Obligatorio (TLS 1.2+) | Obligatorio |
| Datos sensibles (salud, biometría) | Obligatorio (TLS 1.2+) | Obligatorio |
| Datos a gran escala | Obligatorio (TLS 1.2+) | Obligatorio |
Control de acceso
El principio del mínimo privilegio es fundamental: cada usuario debe tener acceso solo a los datos necesarios para su función.
Medidas esenciales:
- Autenticación multifactor (MFA) para el acceso a sistemas con datos personales
- Contraseñas con política de complejidad mínima (12+ caracteres, combinación de tipos)
- Revisión periódica de accesos (cada 90 días como mínimo)
- Revocación inmediata del acceso al dar de baja a un empleado
- Segregación de entornos (desarrollo, pruebas, producción)
- Cuentas de servicio con privilegios mínimos
Registro y monitoreo (logging)
Todo acceso a datos personales debe registrarse en un log de auditoría:
- Quién accedió (identificación del usuario)
- Qué accedió (qué dato o registro)
- Cuándo accedió (fecha y hora, con zona horaria)
- Desde dónde accedió (IP, dispositivo)
- Qué acción realizó (lectura, creación, modificación, eliminación)
Los logs deben estar protegidos contra alteración (inmutabilidad) y conservarse por período suficiente para la investigación de incidentes (mínimo recomendado: 12 meses).
Respaldo y recuperación
- Respaldo regular de los datos personales (diario para sistemas críticos)
- Almacenamiento en lugar separado del entorno de producción (regla 3-2-1: 3 copias, 2 medios, 1 fuera del sitio)
- Prueba periódica de restauración (un respaldo que no se probó no es un respaldo)
- Cifrado de los respaldos
Gestión de vulnerabilidades
- Actualización regular de sistemas operativos, librerías y frameworks (parchado)
- Escaneo de vulnerabilidades periódico (mensual como mínimo)
- Pentest anual para sistemas críticos que tratan datos sensibles o a gran escala
- Gestión de dependencias (monitorear vulnerabilidades en librerías de terceros)
Seguridad de red
- Firewall configurado con regla deny-by-default
- Segmentación de red (sistemas con datos personales en segmento aislado)
- Protección contra malware (antivirus/EDR) en todos los endpoints
- VPN para acceso remoto a sistemas con datos personales
Medidas organizativas: gobernanza y procesos
Las medidas técnicas sin gobernanza son insuficientes. La Ley 21.719 exige medidas "técnicas y organizativas" — las dos son complementarias.
Política de seguridad de la información
Documento que define las directrices de seguridad de la organización. Debe cubrir como mínimo:
- Clasificación de la información (pública, interna, confidencial, restringida)
- Control de acceso (quién puede acceder a qué)
- Uso aceptable de recursos de TI
- Gestión de incidentes
- Respaldo y recuperación
- Seguridad física
- Uso de dispositivos personales (BYOD)
- Trabajo remoto
Gestión de incidentes
Procedimiento documentado para responder a vulneraciones de seguridad:
- Detección y triaje inicial
- Contención (limitar el daño)
- Erradicación (eliminar la causa)
- Recuperación (restaurar la operación normal)
- Comunicación (APDP en hasta 72 horas + titulares sin demora indebida, según Art. 14 sexies)
- Análisis post-incidente (lecciones aprendidas)
Capacitación y concienciación
- Capacitación anual sobre seguridad de la información para todos los empleados
- Capacitación específica sobre protección de datos para equipos que tratan datos personales
- Simulaciones de phishing (para medir la efectividad de la capacitación)
- Inducción con módulo de seguridad y privacidad para nuevos integrantes
Gestión de proveedores
La obligación de seguridad se extiende a los encargados del tratamiento (terceros que tratan datos por cuenta del responsable):
- Evaluación de seguridad de proveedores antes de la contratación (due diligence)
- Cláusulas contractuales de seguridad y protección de datos (ATD — Acuerdo de Tratamiento de Datos)
- Monitoreo periódico de proveedores críticos
- Derecho de auditoría contractualmente establecido
Gestión de activos
- Inventario de activos que tratan datos personales (sistemas, servidores, dispositivos)
- Clasificación de activos por criticidad
- Procedimiento de descarte seguro (sanitización de discos, destrucción de documentos)
- Control de dispositivos móviles y portátiles
Qué verificará la APDP en las fiscalizaciones
Basándose en los patrones de fiscalización de reguladores equivalentes (RGPD europeo, LGPD de Brasil) y en los requisitos explícitos de la Ley 21.719, la APDP probablemente verificará:
Patrones de fiscalización esperados
-
Existencia de política de seguridad documentada — la obligación de Art. 14 bis exige que las medidas estén definidas, no solo implementadas informalmente.
-
Controles de acceso implementados — no solo planificados. La APDP querrá evidencia de MFA, revisiones de acceso y registros de baja de usuarios.
-
Logs de acceso a datos personales — el Art. 14 quinquies implica trazabilidad. Sin logs, no hay forma de detectar ni investigar accesos indebidos.
-
Procedimiento de respuesta a incidentes — y evidencia de que se practicó (tabletop exercises, registros de incidentes históricos).
-
Cumplimiento del plazo de 72 horas para notificación a la APDP ante vulneraciones (Art. 14 sexies).
-
DPD designado (cuando corresponda) y con acceso a los sistemas y procesos relevantes.
-
EIPD elaborada para tratamientos de alto riesgo (Art. 16).
Patrón consistente en reguladores comparables
La experiencia del RGPD muestra que los primeros casos sancionados involucran sistemáticamente: ausencia de medidas técnicas básicas, falta de notificación de incidentes en plazo, ausencia de DPD cuando era obligatorio, y carencia de documentación de cumplimiento. La APDP seguirá un patrón similar.
Seguridad desde el diseño y por defecto
El Art. 14 bis establece que las medidas de seguridad deben aplicarse "desde la fase de concepción del producto o servicio". Esto es security by design — la seguridad no es un parche que se aplica después, sino un requisito incorporado desde el inicio.
En la práctica:
Para nuevos sistemas:
- Requisitos de seguridad en la especificación (antes del desarrollo)
- Modelado de amenazas (threat modeling) en el diseño
- Revisión de código con foco en seguridad (OWASP Top 10)
- Pruebas de seguridad antes de entrar a producción
Para nuevos procesos de negocio:
- Evaluación de riesgo de privacidad antes de implementar
- Definición de controles de seguridad en la fase de diseño
- Principio del mínimo privilegio desde el inicio
- Documentación de decisiones de seguridad
Seguridad por defecto:
- Las configuraciones predeterminadas son las más restrictivas (opt-in, no opt-out)
- Los datos personales no son accesibles por defecto — el acceso debe concederse explícitamente
- Los nuevos usuarios comienzan con permisos mínimos
- Las funcionalidades de rastreo/recolección están desactivadas por defecto
Tabla: nivel de seguridad por tipo de tratamiento
| Escenario | Nivel | Medidas obligatorias | Medidas recomendadas |
|---|---|---|---|
| Datos básicos, bajo volumen | Básico | TLS, control de acceso, respaldo, política de seguridad | MFA, logging, pentest eventual |
| Datos básicos, alto volumen | Intermedio | Todo lo básico + MFA, logging, gestión de vulnerabilidades | Pentest anual, SOC/SIEM, DLP |
| Datos sensibles | Alto | Todo lo intermedio + cifrado en reposo, EIPD, pentest anual | SOC 24/7, DLP, clasificación automática |
| Datos sensibles a gran escala | Máximo | Todo lo alto + SOC/SIEM, DLP, pentest semestral, segmentación de red | Certificación ISO 27001, bug bounty |
| IA con datos personales | Máximo | Todo lo máximo + controles específicos de IA (explicabilidad, sesgo), EIPD específica | Sandbox, auditoría de modelos |
Evidencias de seguridad para auditoría
Implementar medidas de seguridad no es suficiente — es necesario demostrar que existen y funcionan. Para la APDP y para auditorías internas, la organización debe mantener:
Documentos obligatorios
- Política de seguridad de la información (aprobada por la alta dirección, con fecha)
- Inventario de activos y datos personales
- Registro de actividades de tratamiento (RAT)
- EIPD para tratamientos de alto riesgo
- Procedimiento de respuesta a incidentes
- Contratos con encargados incluyendo cláusulas de seguridad (ATD)
Registros operativos
- Logs de acceso a sistemas con datos personales
- Registros de concesión y revocación de acceso
- Evidencias de capacitación (listas de asistencia, certificados)
- Informes de escaneo de vulnerabilidades
- Informes de pentest (con evidencia de remediación)
- Registros de respaldo y pruebas de restauración
- Registros de incidentes (incluso los que no requirieron notificación a la APDP)
Métricas
- Tiempo promedio de aplicación de parches críticos
- Porcentaje de empleados capacitados en seguridad
- Tiempo promedio de detección y respuesta a incidentes
- Número de vulnerabilidades abiertas vs. remediadas
- Cobertura de MFA en sistemas críticos
Cuándo contratar un pentest
El pentest (prueba de penetración) es la simulación controlada de un ataque para identificar vulnerabilidades. La Ley 21.719 no exige pentest explícitamente, pero es la forma más efectiva de validar que las medidas de seguridad funcionan en la práctica.
Cuándo es necesario
- Datos sensibles a gran escala: hospitales, laboratorios, aseguradoras — pentest anual como mínimo
- Aplicaciones expuestas a internet: e-commerce, portales de clientes, apps — pentest ante cada lanzamiento significativo o anualmente
- Tras un incidente de seguridad: para identificar vectores de ataque y garantizar que la remediación fue efectiva
- Antes del lanzamiento: nuevos productos o sistemas que traten datos personales
Tipos
- Black box: el evaluador no tiene información previa sobre el sistema (simula atacante externo)
- Gray box: el evaluador tiene acceso parcial (simula empleado o socio con acceso limitado)
- White box: el evaluador tiene acceso completo al código e infraestructura (análisis más profundo)
Para fines de cumplimiento con la Ley 21.719, el gray box es generalmente el más adecuado — simula el riesgo más probable (insider o atacante con credenciales comprometidas).
Checklist de seguridad para el cumplimiento con la Ley 21.719
Medidas técnicas
- Cifrado en tránsito (TLS 1.2+) para todos los sistemas con datos personales
- Cifrado en reposo para datos sensibles y financieros
- Autenticación multifactor (MFA) para el acceso a sistemas críticos
- Política de contraseñas robusta (12+ caracteres, complejidad, expiración)
- Control de acceso basado en roles (RBAC) implementado
- Logs de acceso a datos personales activos y protegidos
- Respaldo regular con prueba periódica de restauración
- Firewall y segmentación de red
- Protección contra malware en todos los endpoints
- Gestión de vulnerabilidades y parchado regular
- VPN para acceso remoto
Medidas organizativas
- Política de seguridad de la información documentada y aprobada
- Procedimiento de respuesta a incidentes documentado y probado
- Capacitación anual de seguridad para todos los empleados
- Gestión de proveedores con evaluación de seguridad
- Inventario de activos que tratan datos personales
- Procedimiento de descarte seguro de datos y equipos
- Revisión periódica de accesos (trimestral)
- Política de uso aceptable de recursos de TI
- Programa de concienciación continuo
Evidencias y gobernanza
- Registros de capacitación conservados
- Informes de vulnerabilidades y pentest archivados
- Logs de incidentes conservados (incluso menores)
- Métricas de seguridad reportadas a la alta dirección
- EIPD actualizada para tratamientos de alto riesgo
- Contratos con encargados incluyendo cláusulas de seguridad (ATD)
Conclusión
El Art. 14 bis de la Ley 21.719 no es una lista de requisitos — es un principio que exige adecuación al contexto. Una startup con 10 empleados que trata datos básicos de clientes no necesita un SOC 24/7. Un hospital que trata datos de salud de miles de pacientes no puede conformarse con antivirus y respaldo semanal.
El piso mínimo para cualquier organización — independientemente de su tamaño o sector — es: cifrado en tránsito, control de acceso con contraseñas robustas, respaldo regular, política de seguridad documentada, procedimiento de respuesta a incidentes y capacitación del equipo. A partir de ahí, el nivel de seguridad debe ser proporcional al riesgo — y ese es el criterio que la APDP aplicará en las fiscalizaciones.
Confidata ofrece funcionalidades que ayudan al cumplimiento del deber de seguridad de la Ley 21.719: inventario de datos con clasificación por sensibilidad, registro de medidas de seguridad por actividad de tratamiento, gestión de incidentes con los plazos del Art. 14 sexies y EIPD con evaluación de riesgo integrada — documentando las evidencias que la APDP esperará encontrar.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.