Contego

Ley 21.719 · Protección de Datos Personales

La Ley 21.719 moderniza el marco de protección de datos en Chile y obliga a las organizaciones a operar con gobernanza, trazabilidad y medidas de seguridad proporcionales al riesgo. El cumplimiento es principalmente operativo: saber qué datos se tratan, con qué finalidad, quién accede, por cuánto tiempo se conservan y cómo se responde ante incidentes.

Qué exige en la práctica

Para una empresa, la exigencia real es pasar de “guardar datos” a “administrar datos”: inventario, control de accesos, contratos con terceros y procedimientos para solicitudes y eventos de seguridad.

  • Inventario de tratamientos: qué datos se tratan, dónde están y con qué finalidad.
  • Mapa de flujos y terceros: proveedores, encargados, integraciones y transferencias.
  • Retención y eliminación: conservar solo lo necesario y eliminar cuando corresponda.
  • Seguridad y evidencias: accesos, registros, respaldos, cifrado y monitoreo.

Derechos de las personas (ejemplos)

La organización debe contar con un proceso para recibir, verificar, responder y dejar evidencia de solicitudes, dentro de plazos definidos.

  • Acceso: conocer qué datos se tratan y cómo se usan.
  • Rectificación: corregir datos inexactos o desactualizados.
  • Supresión: eliminar cuando corresponda según causales aplicables.
  • Oposición: solicitar detener un tratamiento específico en ciertos casos.
  • Portabilidad: entrega en formato estructurado cuando aplica.
  • Bloqueo: suspensión temporal del tratamiento mientras se resuelve una solicitud.

Obligaciones clave para cumplir (operativas)

Un programa mínimo de cumplimiento suele estructurarse en estas líneas de trabajo:

  • Registro/Inventario: sistemas, bases de datos, archivos, correos, formularios y terceros.
  • Gobierno: responsables internos, políticas y controles; definición de roles y autorizaciones.
  • Contratos: cláusulas con encargados y proveedores (instrucciones, medidas y evidencias).
  • Seguridad: MFA, mínimos privilegios, logging, cifrado, respaldos, segmentación y monitoreo.
  • Incidentes: procedimiento interno, evaluación, contención y evidencias de acciones tomadas.
  • Capacitación: reducir riesgo humano (phishing y manejo de información sensible).

Fiscalización y evidencia

El cumplimiento se demuestra con evidencia: documentación, registros, controles implementados y trazabilidad de decisiones. En una revisión típica, lo que más falla es la ausencia de inventario y la falta de un proceso repetible para solicitudes e incidentes.

  • Bitácoras y registros de acceso/administración en sistemas críticos.
  • Procedimientos documentados y su ejecución (tickets, actas, cambios).
  • Pruebas de recuperación (restauración de respaldos) y controles de retención.

Sanciones por no cumplimiento

Las sanciones se estructuran por gravedad (leves, graves y gravísimas). En la práctica, el riesgo crece cuando existe reincidencia, falta de medidas correctivas o ausencia de evidencias.

  • Leves: amonestación o multa (según clasificación aplicable).
  • Graves: multas más altas y medidas correctivas exigibles.
  • Gravísimas: máximos sancionatorios y agravantes por reincidencia.

Para reducir exposición, lo más efectivo es: inventario + controles de acceso + procedimiento de solicitudes + evidencia técnica (logs, respaldos, cifrado).

Cómo se ve un plan “ejecutable” (90 días)

  • Semana 1–2: inventario de datos, mapa de sistemas/terceros y brechas rápidas.
  • 30 días: flujo de solicitudes, políticas mínimas, contratos críticos y logging base.
  • 60 días: controles técnicos (MFA, cifrado, respaldos probados), retención y capacitación.
  • 90 días: auditoría interna de evidencias, cierre de brechas y roadmap trimestral.

¿Quieres un assessment de cumplimiento con evidencias?

Diagnóstico, plan priorizado y acompañamiento para implementación técnica y operativa.

Ver asesoría Ley 21.719 Solicitar reunión