top of page

Cómo Cumplir la Ley 21.719 de Protección de Datos Personales en la Práctica

  • Foto del escritor: Mario Saffirio
    Mario Saffirio
  • hace 3 días
  • 4 Min. de lectura

La entrada en vigencia de la Ley 21.719 de Protección de Datos Personales (LPDP) marca un cambio relevante para las empresas en Chile. Ya no se trata solo de “tener cuidado” con los datos, sino de demostrar cumplimiento, con roles definidos, controles implementados y capacidad de responder ante incidentes y fiscalizaciones.

Para muchas organizaciones —especialmente PYMES— el principal desafío no es la falta de voluntad, sino no saber por dónde empezar ni qué exige concretamente la ley. A continuación, se presentan los cuatro pilares clave de cumplimiento, explicados de forma práctica y orientada a la gestión.


Modelo para el Cumplimiento de LPDP 21.719


1. Gobernanza y Roles: la Base del Cumplimiento

El cumplimiento de la LPDP comienza con gobernanza. Esto significa que la organización debe ordenar responsabilidades, decisiones y reglas, dejando atrás la informalidad.

Un primer elemento esencial es contar con un Gobierno de Protección de Datos. Esto se traduce en políticas formales que definan cómo se recopilan, usan, almacenan y eliminan los datos personales. No se trata de documentos extensos o jurídicos, sino de reglas claras que orienten el actuar de la empresa.


La ley exige además la designación de un Responsable de Protección de Datos (RPD). Este rol debe estar formalmente nombrado y puede ser interno o externo. Su función principal es coordinar el cumplimiento, supervisar los procesos y actuar como punto de contacto ante incidentes o requerimientos de la autoridad.


Otro elemento clave es la existencia de políticas obligatorias, entre ellas:

  • Política de Protección de Datos Personales.

  • Política de Gestión de Consentimientos.

  • Política de Seguridad de la Información.

  • Política de Gestión de Incidentes y Brechas de Datos.


Finalmente, la gobernanza se materializa en el Registro de Actividades de Tratamiento (RAT). Este registro permite responder preguntas clave: qué datos se tratan, con qué finalidad, en qué sistemas, quién accede y qué proveedores están involucrados. Es uno de los primeros documentos que solicita la autoridad en una fiscalización.

 

2. Controles Mínimos de Protección de Datos: Pasar del Papel a la Acción

Tener políticas no es suficiente. La LPDP exige que la empresa implemente medidas técnicas y organizativas efectivas para proteger los datos personales.


En materia de prevención, destacan controles como:

  • Gestión de accesos a los datos personales.

  • Aplicación del principio de mínimo privilegio.

  • Cifrado de datos sensibles.

  • Medidas de seguridad acordes al riesgo.


La detección es igualmente relevante. La organización debe ser capaz de identificar accesos indebidos o usos no autorizados de la información. Para ello, es fundamental contar con registros de acceso, trazabilidad de operaciones y mecanismos básicos de monitoreo.


Cuando ocurre un incidente, la empresa debe estar preparada para responder. Esto implica contar con un procedimiento formal de gestión de incidentes, con roles definidos, capacidad de análisis y acciones de contención. No improvisar es clave para reducir el impacto legal y reputacional.


Finalmente, la continuidad asegura que los datos personales sigan disponibles e íntegros. Respaldo de información, recuperación ante fallas y continuidad de los tratamientos críticos forman parte de este pilar.


3. Reportabilidad y Obligaciones ante la Autoridad

Uno de los cambios más relevantes de la Ley 21.719 es el énfasis en la reportabilidad. Las empresas deben demostrar que saben actuar cuando algo falla.


El flujo esperado es claro:


Detección → Análisis → Notificación → Mitigación


Cuando ocurre una brecha de seguridad relevante, la organización debe evaluar su impacto, determinar si corresponde notificar a la autoridad y, en ciertos casos, informar a los titulares de los datos afectados, dentro de los plazos establecidos.


Además, la empresa debe mantener evidencia y trazabilidad del incidente, ya que la autoridad puede requerir antecedentes, realizar fiscalizaciones o iniciar procedimientos sancionatorios. La preparación previa marca la diferencia entre una gestión ordenada y una crisis descontrolada.


4. Derechos ARCO-P de los Titulares: el Centro de la Ley

La LPDP pone a las personas en el centro. Por ello, las empresas deben estar preparadas para gestionar los derechos de los titulares de datos, entre ellos:


A - Derecho de Acceso.

El titular puede solicitar saber:

•       Qué datos personales tiene la empresa sobre él.

•       Para qué se usan.

•       De dónde provienen.

•       Con quién se comparten.

👉 La empresa debe responder con información clara y completa.

 

R - Derecho de Rectificación.

El titular puede solicitar:

•       Corregir datos incorrectos.

•       Actualizar datos desactualizados.

•       Completar datos incompletos.

👉 La empresa debe corregir los datos en sus sistemas y respaldos.

 

C - Derecho de Cancelación o Supresión.

El titular puede solicitar:

•       La eliminación de sus datos personales, cuando corresponda legalmente.

👉 La empresa debe evaluar si existe obligación de conservarlos contractual, legal, (defensa jurídica). Si no existe, debe eliminarlos o anonimizararlos.

 

O - Derecho de Oposición.

El titular puede oponerse:

•       A ciertos tratamientos de sus datos.

•       A finalidades específicas.

👉 La empresa debe analizar la solicitud y, si procede, detener el tratamiento.

 

P – Derecho a Portabilidad.

El titular puede solicitar:

•       Recibir sus datos personales en un formato estructurado y reutilizable.

👉 Aplica principalmente a datos entregados por el titular y tratados por medios automatizados.


No basta con conocer estos derechos; es obligatorio contar con procedimientos claros, responsables definidos y plazos de respuesta controlados. En la práctica, esto evita conflictos, reclamos y sanciones.


5. Cultura y Formación: el Motor del Cumplimiento Sostenible

Ningún modelo de cumplimiento funciona si las personas no lo entienden. La LPDP exige un cambio cultural.

La capacitación en protección de datos debe ser obligatoria, práctica y periódica. Los colaboradores deben comprender qué es un dato personal, cómo manejarlo y cuáles son los riesgos de un uso inadecuado. La inducción de nuevos colaboradores es un momento clave para reforzar este mensaje.

Simulacros, evaluaciones de madurez y campañas de concientización permiten mantener el cumplimiento en el tiempo y reducir errores humanos, que siguen siendo la principal causa de incidentes.


Conclusión

Cumplir la Ley 21.719 no es un proyecto jurídico ni tecnológico aislado. Es un desafío de gestión, que combina gobernanza, controles, personas y procesos.

Las empresas que abordan la LPDP de forma estructurada no solo reducen riesgos legales y sanciones, sino que también fortalecen la confianza de clientes, colaboradores y socios. En un entorno cada vez más regulado, cumplir bien es una ventaja competitiva.


Referencia

Comentarios

bottom of page