Cumplimiento
Cómo prepararse para la Ley 21.719: checklist antes del 1 de diciembre de 2026

Saber cómo prepararse para la Ley 21.719 es la diferencia entre llegar cumpliendo al 1 de diciembre de 2026 y hacerlo a última hora, con riesgo de multas. Esta guía es un checklist accionable, pensado para equipos legales, de TI y de marketing que deben coordinarse. Si aún no conoces el marco general, parte por qué es la Ley 21.719.
Por qué empezar ahora
La Ley 21.719 se publicó el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. La vacancia de 24 meses no es un margen de tranquilidad: es el tiempo para ordenar datos, sistemas, contratos y procesos.
Un proyecto de cumplimiento realista toma meses. Involucra a varias áreas, requiere decisiones y, a veces, cambios técnicos que no se hacen en una semana. Empezar temprano baja el costo y el riesgo.
Checklist de cumplimiento paso a paso
Recorre estos nueve pasos en orden. Cada uno construye sobre el anterior.
1. Inventario y mapeo de datos
No puedes proteger lo que no conoces. El primer paso es levantar un registro de actividades de tratamiento:
- Qué datos personales tratas (clientes, trabajadores, proveedores, usuarios web).
- Dónde se almacenan (sistemas, planillas, servicios en la nube).
- Quién accede a ellos y para qué.
- Con quién los compartes (proveedores, encargados, terceros).
- Cuánto tiempo los conservas.
Presta atención especial a los datos sensibles (salud, situación socioeconómica, biometría) y a los datos de niños, niñas y adolescentes, que exigen mayor protección.
2. Definir las bases de licitud
Cada tratamiento necesita una base legal que lo justifique. Asigna una a cada actividad de tu inventario:
- Consentimiento del titular.
- Ejecución de un contrato.
- Obligación legal.
- Interés legítimo del responsable.
Si un tratamiento no encaja en ninguna base, o lo corriges o lo detienes. Este ejercicio suele revelar recolecciones de datos que ya no tienen justificación.
3. Políticas y avisos de privacidad
Actualiza tus documentos para que informen con transparencia:
- Política de privacidad clara, en lenguaje entendible.
- Avisos de privacidad en formularios, apps y puntos de contacto.
- Información sobre finalidades, base de licitud, plazos de conservación y cómo ejercer derechos.
La transparencia es un principio de la ley, no un adorno legal.
4. Gestión de consentimientos
Cuando tu base sea el consentimiento, debe ser libre, informado y específico, y tienes que poder demostrar que lo obtuviste. Revisa:
- Formularios y casillas (evita casillas premarcadas).
- Registro de cuándo y cómo se otorgó cada consentimiento.
- Un mecanismo simple para revocarlo.
5. Seguridad de la información
El principio de seguridad exige medidas técnicas y organizativas concretas. Este es el terreno donde legal y TI deben trabajar juntos:
- Cifrado de datos en tránsito y en reposo.
- Control de accesos con el criterio de mínimo privilegio.
- Respaldos periódicos y probados.
- Registro de accesos y monitoreo.
- Residencia de los datos en Chile cuando sea posible, para simplificar el control y las transferencias.
Si hay transferencias internacionales, deben ir hacia países con nivel de protección adecuado o con garantías apropiadas.
6. Contratos con encargados
Todo proveedor que trate datos por tu cuenta (hosting, software, marketing, call center) es un encargado y necesita un contrato o mandato que regule la relación. Revisa:
- Que exista un contrato de tratamiento con cada encargado.
- Cláusulas de confidencialidad, seguridad y fin del tratamiento.
- Obligación del encargado de notificarte ante una brecha.
7. Plan de respuesta a brechas
Ante una brecha de seguridad, la ley obliga a notificar a la Agencia sin dilación indebida (las guías refieren un plazo de 72 horas) y a los titulares cuando exista riesgo alto para sus derechos. Necesitas un plan antes de que ocurra:
- Cómo detectar y clasificar un incidente.
- Quién decide y quién notifica.
- Plantillas de notificación a la Agencia y a los titulares.
- Un registro de incidentes.
Tenemos el detalle en la guía sobre notificación de brechas en 72 horas.
8. Designar un DPO
La figura del Delegado de Protección de Datos (DPO) puede ser interna o externa. No siempre es obligatoria, pero es muy recomendable cuando tratas datos a gran escala o datos sensibles. El DPO coordina el cumplimiento, es contraparte de la Agencia y da continuidad al proyecto. Evalúa si tu caso lo requiere en ¿necesito un DPO?.
9. Capacitación
El mejor procedimiento falla si el equipo no lo conoce. Capacita a las personas que tratan datos —ventas, marketing, RR.HH., soporte— en lo básico: qué es un dato personal, cómo pedir consentimiento, qué hacer ante una solicitud de derechos y cómo reportar un incidente.
Checklist resumen
Usa esta lista para hacer seguimiento del avance:
- Inventario y mapeo de datos completo
- Base de licitud asignada a cada tratamiento
- Política y avisos de privacidad actualizados
- Gestión de consentimientos y mecanismo de revocación
- Cifrado, control de accesos y respaldos implementados
- Residencia de datos y transferencias internacionales revisadas
- Contratos firmados con todos los encargados
- Plan de respuesta a brechas documentado y probado
- DPO designado (interno o externo) si corresponde
- Equipo capacitado en protección de datos
- Evidencia de cumplimiento archivada (principio de responsabilidad)
Ese último punto es clave: la Ley 21.719 exige poder demostrar el cumplimiento, no solo afirmarlo. Guarda registros, actas y respaldos.
Cómo priorizar si vas con poco tiempo
Si el plazo aprieta, prioriza el riesgo:
- Inventario de datos (sin él, nada avanza).
- Bases de licitud y consentimientos.
- Seguridad y contratos con encargados.
- Plan de brechas.
- DPO y capacitación.
Los primeros pasos reducen el riesgo más grande —tratar datos sin base legal o sin protección— y ordenan todo lo demás.
Preguntas frecuentes
¿Cuánto tiempo toma prepararse para la Ley 21.719?
Depende del tamaño y la madurez de la organización, pero un proyecto serio suele tomar varios meses. Por eso conviene empezar mucho antes del 1 de diciembre de 2026, especialmente si hay que ordenar sistemas y contratos.
¿Por dónde empiezo si no sé nada del tema?
Por el inventario de datos: saber qué datos tratas, dónde están y con quién los compartes. Todo el resto del cumplimiento —bases de licitud, seguridad, contratos— se construye sobre ese mapa.
¿Es obligatorio tener un DPO para cumplir la Ley 21.719?
No en todos los casos, pero es muy recomendable cuando tratas datos a gran escala o datos sensibles. El DPO ordena el proyecto y es la contraparte natural frente a la Agencia. Revisa el detalle en ¿necesito un DPO?.
¿Quieres avanzar este checklist con respaldo profesional? En basedatos.cl combinamos abogados e ingenieros para alojar y proteger tus bases de datos en Chile. Escríbenos y agenda una asesoría.
Este contenido es informativo y no constituye asesoría legal para un caso particular.


