SaaS y startups tech
Compliance Ley 21.719 para SaaS sin frenar tu ciclo de release
Un SaaS B2B procesa datos como encargado de sus clientes y como responsable de sus propios usuarios. Necesitas DPA bidireccional, lista pública de sub-procesadores y CCT para AWS, GCP, Vercel. PrivacTech genera el bundle completo en 30 minutos.
Multa máxima
20.000 UTM
≈ CLP $1.500 millones
AWS / GCP / Vercel
Encargados
transferencia internacional
Clientes B2B
DPA bidireccional
tú procesas para ellos
Documentos generados
4–9
según plan elegido
Los 4 puntos críticos para SaaS chileno
Cuatro flujos donde startups tech chilenas suelen estar expuestas sin saberlo.
Eres encargado de tratamiento para tus clientes B2B — necesitas DPA bidireccional
Cuando una empresa cliente usa tu SaaS, tú procesas datos personales en su nombre. Eso te convierte en encargado bajo el Art. 5 sexies. Cada cliente B2B necesita un DPA firmado contigo, no solo un ToS. Algunos clientes lo van a exigir antes de comprar.
Tu infraestructura cloud son sub-procesadores: lista pública obligatoria
AWS, Google Cloud, Vercel, MongoDB Atlas, Datadog, Sentry — todos procesan datos de tus usuarios. Necesitas declarar la lista de sub-procesadores en tu DPA y notificar a clientes con anticipación si agregas uno nuevo.
Transferencias internacionales: tu stack vive fuera de Chile
Si AWS us-east-1, Cloudflare global edge o Stripe procesan datos chilenos, son transferencias internacionales. Necesitas Cláusulas Contractuales Tipo en cada DPA upstream y declararlo en tu política de privacidad.
Multi-tenant: aislamiento de datos por cuenta + auditoría de accesos
Una brecha donde un cliente accede a datos de otro es de las peores: brecha grave por falla de medidas de seguridad técnicas. Necesitas documentar tu modelo de aislamiento (RLS, schemas separados, encryption-at-rest por tenant) en el RAT y mantener logs de auditoría de accesos administrativos.
Documentos que generamos para tu SaaS
Adaptados a SaaS multi-tenant + ciclo de release moderno.
| Documento | Plan |
|---|---|
| Política de Privacidad con cláusulas SaaS multi-tenant y transferencias internacionales | Starter |
| Registro de Actividades de Tratamiento (RAT) con flujos de usuario y de cliente B2B | Starter |
| Procedimiento ARCO con flujo por usuario directo y por solicitud derivada del cliente B2B | Starter |
| Plan de respuesta a brechas con timeline 72h e impacto multi-tenant | Starter |
| Template DPA para firmar con clientes B2B (tú como encargado) | Plus |
| Lista de sub-procesadores pública con CCT para AWS, GCP, Vercel, Sentry, etc. | Plus |
| DPIA para features con perfilamiento, IA o decisiones automatizadas | Plus |
Sin compliance
- ToS genérico sin DPA — clientes empresariales no pueden firmarte
- Sub-procesadores cambiando sin notificar a clientes
- AWS / GCP / Vercel sin CCT documentadas
- Brecha multi-tenant sin plan de comunicación coordinado
- Multa potencial hasta 20.000 UTM + clientes que te bajan por compliance
Con PrivacTech
- DPA template listo para firmar con clientes B2B exigentes
- Lista pública de sub-procesadores en /sub-procesadores
- CCT pre-redactadas para AWS, GCP, Vercel, Sentry, Datadog
- Procedimiento de brecha con flujo multi-tenant y comunicación a clientes B2B
- Compliance como ventaja competitiva en sales B2B
Antes de empezar, lee la guía
Si estás evaluando el alcance del cumplimiento en tu SaaS, primero lee nuestra guía técnica del sector. Cubre DPA bidireccional, sub-procesadores, transferencias internacionales y multi-tenant paso a paso.
Guía: SaaS y startups tech bajo Ley 21.719Comienza el análisis gratis
5 minutos para conocer dónde tu SaaS necesita DPA, CCT o ajustes multi-tenant. Sin tarjeta de crédito.
Empezar gratis