PrivacTechBlog
← Blog

10 de mayo de 2026

Checklist de cumplimiento Ley 21.719 — 2026

Checklist de cumplimiento Ley 21.719 — 2026

La Ley 21.719 sobre protección de datos personales entró en vigencia el 1 de enero de 2024, pero muchas empresas aún están lejos de cumplir. Si tu PyME o empresa mediana no ha iniciado el proceso, tienes tiempo hasta diciembre de 2026 para implementar los controles obligatorios. Este checklist te muestra los 30 puntos críticos que necesitas cumplir, clasificados por prioridad. Úsalo para auditar tu estado actual y planificar las acciones faltantes.

Documentación: La base del cumplimiento

Crítico: Sin documentación clara, no hay cumplimiento creíble ante la autoridad. Estos documentos son la evidencia de que tu empresa respeta derechos.

  • Política de privacidad: Debe publicarse en tu sitio web y describir qué datos recolectas, para qué, quién tiene acceso y cuánto tiempo los guardas. Artículo 3 de la ley.
  • Aviso de privacidad: En formularios, cajeros o puntos de contacto donde recolectes datos. Debe ser claro, visible y anterior al consentimiento.
  • Registro de actividades de tratamiento (RAT): Un inventario detallado de dónde están tus datos, quién los trata, por cuánto tiempo. Es tu documento más importante.
  • Acuerdos de confidencialidad (DPA): Contrato legal que firma con cada proveedor que acceda a datos. Sin DPA, eres responsable de sus brechas.
  • Procedimiento ARCO documentado: Instrucciones internas sobre cómo responder solicitudes de acceso, rectificación, cancelación u oposición en máximo 20 días.
  • Protocolo de respuesta a brechas: Plan escrito para notificar afectados en máximo 72 horas si hay riesgo grave. Incluye roles, canales y plantillas.

Bases legales: Documenta el "por qué"

Importante: La ley no prohíbe recolectar datos, pero sí exige que tengas una base legal clara para cada tipo de dato. Sin ella, no puedes tratar información.

  • Mapeo de bases legales: Revisa cada dato que recolectas (nombre, email, teléfono, RUT, etc.) e identifica si es consentimiento, contrato, obligación legal o interés legítimo.
  • Registro de consentimientos: Si usas consentimiento como base, debes guardar evidencia de que el usuario aceptó (timestamp, IP, formulario). No es retroactivo.
  • Legitimidad de interés legítimo: Si reclamas interés legítimo, documenta por qué. Ejemplo: "Email de cliente para seguimiento post-venta" es legítimo; "vender base de datos a terceros" no lo es.

Canal ARCO: Habilita derechos de las personas

Crítico: Cualquier persona puede solicitar ver, cambiar o borrar sus datos. Debes tener un canal claro y accesible para recibir estas solicitudes.

  • Email de ARCO: Publica una dirección de correo específica en tu web (ejemplo: privacidad@tuempresa.cl) donde la gente pueda escribir.
  • Formulario en línea: Opcional pero recomendado. Automatiza la recepción de solicitudes y crea un registro interno.
  • Plazo de respuesta: Máximo 20 días hábiles desde que recibes la solicitud. Debes informar qué hiciste, aunque no accedas a la solicitud (debes explicar por qué).
  • Registro de solicitudes: Guarda un log con fecha, tipo de solicitud, datos solicitados, respuesta y resultado. Obligatorio por el artículo 20.

Contratos y relaciones: Asegura el flujo de datos

Importante: Todo tercero que acceda a datos personales debe estar vinculado contractualmente. Esto incluye proveedores de software, agencias, e incluso empleados.

  • Contrato con proveedores: Firma un DPA con cada proveedor (cloud, agencia de marketing, consultoría IT, etc.). El contrato debe incluir instrucciones de qué pueden hacer con los datos.
  • Cláusulas en contratos de empleados: Incluye obligación de confidencialidad, prohibición de compartir datos, y consecuencias de incumplimiento.
  • Matriz de terceros: Lista actualizada de quién tiene acceso a qué datos. Revisión anual mínima.

Medidas técnicas y organizacionales: La práctica

Crítico: La ley exige "medidas apropiadas" para proteger datos. No necesita ser Fort Knox, pero sí razonable para el tamaño de tu empresa.

  • Cifrado de datos sensibles: RUT, números de cuenta, contraseñas. En tránsito (HTTPS) y en reposo (bases de datos cifradas).
  • Control de acceso: Solo empleados que necesiten acceden a datos. Usa permisos en sistemas. Documentado.
  • Backups regulares: Al menos mensual, almacenados en ubicación separada. Prueba recuperación anual.
  • Logs de acceso: Quién accedió qué, cuándo, desde dónde. Retención: mínimo 1 año.
  • Antivirus y firewall: Básico pero obligatorio.

Designación de DPO y formación

Importante y Recomendado: No toda empresa necesita DPO (encargado de datos), pero sí debes evaluarlo. Toda empresa necesita que su equipo entienda la ley.

  • Evaluación de obligatoriedad de DPO: Revisa si procesas datos de menores, datos sensibles, o haces monitoreo. Si sí, considera designar un DPO interno o externo.
  • Capacitación del equipo: Al menos una vez al año. Enfocada en roles: gerentes entienden privacidad, IT entiende cifrado, RR.HH. entiende consentimiento.
  • Designación documentada: Si designas DPO, hazlo por escrito y comunica sus responsabilidades (contacto con autoridad, auditorías internas, consultas).

El siguiente paso: Implementa tu plan

Este checklist te muestra qué hacer, pero implementarlo requiere organización y herramientas. Muchas PyMEs cometen el error de dejar todo para último momento. Si tu empresa aún no ha comenzado, prioriza en este orden: RAT + Política de privacidad → Contratos con proveedores → Medidas técnicas → Canal ARCO → Capacitación.