La Ley 21.719 no es solo una ley de derechos — es una ley de obligaciones. Por cada derecho que le reconoce al titular (acceder a sus datos, corregirlos, eliminarlos, oponerse a su uso), le impone al responsable del tratamiento una obligación correspondiente que debe cumplir, documentar y poder acreditar.
Un responsable del tratamiento es cualquier persona natural o jurídica que decide para qué se usan los datos personales y cómo se tratan. En términos simples: si recopilas datos de tus clientes o empleados para tu negocio, eres responsable del tratamiento. Y la Ley 21.719 tiene diez obligaciones concretas que aplican directamente a ti.
Esta guía recorre las diez obligaciones del Art. 14 y disposiciones relacionadas, explicando qué exige cada una y qué documentos o herramientas te permiten cumplirla.
Obligación 1: Informar al titular (principio de transparencia)
Qué exige la ley: Antes de recopilar datos personales — o en el momento en que los recopiles — debes informar al titular de manera clara, precisa y accesible sobre quién eres, para qué vas a usar sus datos, cuánto tiempo los vas a conservar, con quién los vas a compartir y cuáles son sus derechos. Esta información debe estar disponible en un lenguaje comprensible, no en jerga legal.
El Art. 14 ter establece el contenido mínimo que debe tener esta información: identidad y contacto del responsable, finalidades del tratamiento, base legal, destinatarios o categorías de destinatarios, plazos de conservación, derechos del titular y cómo ejercerlos, existencia de transferencias internacionales y sus garantías.
Cómo se cumple: La Política de Privacidad es el documento central para cumplir esta obligación. Debe estar publicada, accesible y actualizada. Si los datos se recopilan en un formulario, la información clave debe estar disponible antes de que el usuario envíe el formulario — no solo en un enlace oculto en el pie de página.
Herramienta: Política de Privacidad
Obligación 2: Determinar finalidades y medios del tratamiento
Qué exige la ley: El responsable debe definir previamente y con precisión para qué va a tratar los datos (finalidades) y cómo lo va a hacer (medios). No puedes recopilar datos "por si acaso" o con finalidades vagas como "mejorar la experiencia del usuario". Cada tratamiento debe tener una finalidad determinada, explícita y legítima.
Esta obligación se vincula directamente con el principio de finalidad de la Ley 21.719: los datos solo pueden usarse para el fin para el que fueron recopilados. Si quieres usarlos para una finalidad nueva, necesitas una nueva base legal (y posiblemente un nuevo consentimiento).
En la práctica: antes de implementar una nueva funcionalidad de tu plataforma, lanzar una campaña de marketing a tu base de datos existente, o compartir datos con un proveedor nuevo, debes verificar que la finalidad nueva está cubierta por la base legal que tienes. Si no lo está, debes obtenerla antes de proceder.
Herramienta: Registro de Actividades de Tratamiento (RAT)
Obligación 3: Registrar las actividades de tratamiento (RAT)
Qué exige la ley: Debes mantener un Registro de Actividades de Tratamiento (RAT) actualizado que documente todos los tratamientos de datos que realiza tu organización. El RAT es el inventario central de privacidad: una descripción de cada tratamiento con su finalidad, base legal, categorías de datos, destinatarios, plazos de conservación y medidas de seguridad aplicadas.
El RAT no es un documento que se crea una vez y se olvida. Debe reflejar la realidad operativa actual: si contratas un nuevo proveedor de CRM, si añades una funcionalidad de analytics, si empiezas a tratar datos de empleados para un nuevo beneficio — el RAT debe actualizarse.
Por qué es crítico: en una fiscalización de la APDP, el RAT es el primer documento que se solicita. Sin RAT, no puedes demostrar que tienes control sobre lo que haces con los datos — y eso por sí solo puede ser infracción grave. El RAT también te obliga a hacer el ejercicio de mapear tus flujos de datos, lo que frecuentemente revela tratamientos que no tenían base legal documentada.
Herramienta: Registro de Actividades de Tratamiento
Obligación 4: Asegurar la licitud del tratamiento
Qué exige la ley: Todo tratamiento de datos personales debe tener una base legal válida. No puedes tratar datos simplemente porque quieres o porque el titular no se ha quejado. La Ley 21.719 reconoce seis bases legales: consentimiento, ejecución de contrato, obligación legal, interés vital, misión de interés público, e interés legítimo. Para datos sensibles, las bases disponibles son más estrechas y el consentimiento debe ser expreso y por escrito.
El error más común: usar el consentimiento como base legal para todo, incluso para tratamientos que tienen otra base legal más apropiada. Si tratas datos para ejecutar un contrato, la base legal es el contrato — no necesitas consentimiento adicional. Pedirlo innecesariamente crea el problema de tener que gestionar su revocación.
El segundo error más común: no tener ninguna base legal documentada para ciertos tratamientos. El tratamiento ocurre, los datos existen, pero nadie revisó si había base legal para recopilarlos.
Herramienta: Política de Privacidad y RAT (ambos documentan las bases legales de cada tratamiento)
Obligación 5: Garantizar la calidad de los datos
Qué exige la ley: Los datos personales que tratas deben ser exactos, completos y actualizados en la medida necesaria para los fines del tratamiento. Si tratas datos inexactos — la dirección antigua de un cliente, un RUT incorrecto, un diagnóstico médico desactualizado — puedes causar daño al titular y estás incumpliendo la ley.
El principio de calidad tiene una dimensión activa: no basta con no inventar datos falsos. Debes tener procesos para actualizar los datos cuando cambien (permitir que el cliente actualice su dirección, revisar periódicamente registros de salud) y para eliminarlos cuando ya no sean necesarios para la finalidad original.
Implicancia para el diseño de sistemas: si tu CRM o base de datos no permite actualizar registros fácilmente, o si no tienes definido por cuánto tiempo conservas cada categoría de datos, tienes un problema de calidad de datos que también es un problema de cumplimiento legal.
Herramienta: el Protocolo ARCOP debe incluir el procedimiento para actualizar datos cuando el titular lo solicita vía derecho de rectificación.
Obligación 6: Protección de datos desde el diseño y por defecto
Qué exige la ley: La privacidad no es algo que se añade al final de un proyecto tecnológico — debe estar integrada desde el diseño (privacy by design) y la configuración predeterminada debe ser siempre la más protectora para el titular (privacy by default).
Privacy by design significa: cuando desarrollas una nueva funcionalidad, cuando contratas un nuevo proveedor, cuando diseñas un formulario de registro — la privacidad es un requisito de diseño, no un afterthought. Las medidas técnicas para proteger datos deben estar pensadas desde el inicio del proyecto, no parcheadas al final.
Privacy by default significa: la configuración estándar de tus servicios debe ser la que menos datos recopila y los trata de la forma más limitada. El usuario no debe tener que "desactivar" el tratamiento de datos que no quiere — debe ser opt-in para cualquier tratamiento más allá del mínimo necesario.
Ejemplo concreto: un formulario de registro que por defecto tiene marcada la casilla de "acepto recibir newsletter" viola privacy by default. La casilla debe empezar desmarcada.
Herramienta: Formulario de Consentimiento
Obligación 7: Adoptar medidas de seguridad adecuadas
Qué exige la ley: Debes implementar medidas técnicas y organizativas que garanticen un nivel de seguridad proporcional al riesgo que representa el tratamiento para los titulares. No existe una lista cerrada de medidas obligatorias — la ley exige proporcionalidad al riesgo.
Para datos ordinarios, medidas básicas: contraseñas seguras, cifrado de backups, control de acceso por roles, política de contraseñas, formación del equipo. Para datos sensibles (salud, biometría, etc.), el estándar es más alto: cifrado en reposo y tránsito, logs de auditoría de accesos, separación lógica de los datos, evaluaciones periódicas.
El enfoque correcto no es gastar más en tecnología — es documentar las decisiones de seguridad. En una fiscalización, la APDP no solo pregunta qué medidas tienes: pregunta por qué esas medidas son proporcionales al riesgo específico de tus tratamientos. Sin documentación, no puedes responder.
Herramienta: el RAT debe incluir para cada tratamiento las medidas de seguridad aplicadas y la justificación de su proporcionalidad.
Obligación 8: Notificar brechas de seguridad
Qué exige la ley: Si ocurre una brecha de seguridad que afecta datos personales, debes notificarlo a la APDP sin dilaciones indebidas (objetivo: 72 horas para datos sensibles) y a los titulares afectados cuando la brecha represente un riesgo significativo para ellos.
No notificar es por sí misma una infracción gravísima — independiente del incidente que causó la brecha. La cobertura del incumplimiento no reduce la sanción, la incrementa.
Qué debe incluir la notificación a la APDP: descripción de la naturaleza de la brecha, categorías y número aproximado de titulares afectados, datos de contacto del responsable de privacidad, consecuencias probables y medidas adoptadas para remediar.
El problema de las 72 horas: en 72 horas desde descubrir la brecha, debes haber notificado a la APDP. Eso es imposible de cumplir si no tienes un Protocolo de Brechas documentado antes de que ocurra el incidente. El tiempo de reacción real en una brecha es demasiado corto para improvisar el proceso sobre la marcha.
Herramienta: Protocolo de Brechas de Seguridad (incluido en el checklist de cumplimiento)
Obligación 9: Realizar evaluación de impacto (DPIA) cuando corresponda
Qué exige la ley: Cuando un tratamiento de datos implique un alto riesgo para los derechos y libertades de los titulares, el responsable debe realizar una Evaluación de Impacto en la Protección de Datos (DPIA) antes de iniciar el tratamiento.
La DPIA es un análisis formal que identifica los riesgos del tratamiento, los evalúa y determina las medidas de mitigación adecuadas. No es un formulario de cumplimiento burocrático — es un ejercicio de gestión de riesgo con consecuencias legales si se omite cuando es obligatoria.
¿Cuándo es obligatoria? La ley establece que corresponde cuando: se tratan datos sensibles a gran escala, se realiza perfilamiento sistemático de personas, se usan tecnologías nuevas o innovadoras, se monitorea sistemáticamente un espacio de acceso público. La APDP puede emitir listas de tratamientos que siempre requieren DPIA y de los que nunca la requieren.
Para la mayoría de las pymes: la DPIA no es relevante en operaciones ordinarias. Empieza a serlo si incorporas IA, sistemas de reconocimiento facial, análisis masivo de comportamiento o tratamiento de datos sensibles como actividad central del negocio.
Herramienta: no hay una herramienta de PrivacidadWeb específica para DPIA; para tratamientos de alto riesgo, recomendamos consulta con un abogado especializado.
Obligación 10: Designar DPO cuando corresponda
Qué exige la ley: En ciertos casos — organismos públicos, responsables que tratan datos sensibles a gran escala, responsables que realizan perfilamiento masivo — la designación de un Delegado de Protección de Datos (DPO) es obligatoria. Para el resto, aunque no sea legalmente obligatorio, es altamente recomendable designar un responsable interno de privacidad.
La ausencia de un responsable designado no suele ser infracción directa para pymes. Pero sus consecuencias indirectas sí generan infracciones: nadie responde solicitudes ARCOP en plazo, nadie activa el protocolo de brechas, nadie responde requerimientos de la APDP.
Para pymes: designar a una persona existente (dueño, gerente de administración, responsable de tecnología) como coordinador interno de privacidad, documentar esa designación y publicar su canal de contacto en la Política de Privacidad.
Herramienta: Para más detalle, consulta nuestra guía completa sobre el DPO.
Tabla resumen: obligaciones, documentos y herramientas
| # | Obligación | Documento clave | Herramienta | |---|-----------|-----------------|-------------| | 1 | Informar al titular | Política de Privacidad | Política de Privacidad | | 2 | Determinar finalidades | RAT / Política de Privacidad | RAT | | 3 | Registrar tratamientos (RAT) | RAT | RAT | | 4 | Asegurar licitud | RAT (bases legales) | RAT | | 5 | Calidad de datos | Protocolo ARCOP | Protocolo interno | | 6 | Privacy by design/default | Formularios y configuración | Formulario de Consentimiento | | 7 | Medidas de seguridad | RAT (sección seguridad) | RAT | | 8 | Notificar brechas | Protocolo de Brechas | Checklist interno | | 9 | DPIA cuando aplica | Evaluación de impacto | Consulta especializada | | 10 | Designar DPO si corresponde | Documentación de designación | Guía DPO |
El principio que subyace a todo: responsabilidad proactiva
Las diez obligaciones anteriores se articulan bajo un principio que la Ley 21.719 consagra explícitamente: la responsabilidad proactiva (accountability). No basta con cumplir — debes poder demostrar que cumples.
Esto invierte la lógica de la Ley 19.628: antes, era el titular quien debía demostrar que sus derechos habían sido vulnerados. Ahora, es el responsable quien debe demostrar que tiene procesos adecuados, documentación actualizada y medidas proporcionales al riesgo.
En la práctica: si la APDP te investiga, la carga de la prueba es tuya. Mostrar una Política de Privacidad publicada, un RAT actualizado, formularios de consentimiento correctos, un Protocolo de Brechas documentado y un responsable interno designado es la diferencia entre una empresa que puede defenderse y una que no tiene argumentos.
El primer paso es siempre el diagnóstico: saber cuáles de estas obligaciones ya cumples y cuáles son tus brechas reales.
Preguntas frecuentes
¿Las 10 obligaciones aplican desde el primer día de vigencia de la ley?
Sí. Desde la vigencia plena (diciembre 2026), todas las obligaciones son exigibles simultáneamente. No hay un período de gracia por obligación — la ley entra en vigor en su totalidad. El período entre ahora y diciembre de 2026 es el tiempo de preparación que la ley concede implícitamente al publicarse dos años antes de su vigencia plena.
¿Cuáles son las obligaciones más frecuentemente incumplidas?
Por experiencia en el mercado chileno, las tres más frecuentes son: (1) ausencia de RAT — la mayoría de las empresas no tenían ningún inventario de datos antes de la nueva ley; (2) Política de Privacidad incompleta — basada en la Ley 19.628, sin bases legales, plazos ni transferencias internacionales; (3) ausencia de Protocolo de Brechas — nadie tenía un procedimiento documentado porque no había obligación de notificar.
¿Tengo que cumplir las 10 obligaciones aunque sea una empresa muy pequeña?
La Ley 21.719 aplica a cualquier responsable del tratamiento sin distinción de tamaño. Sin embargo, el nivel de exigencia es proporcional: las medidas de seguridad "adecuadas" para una pyme de 5 personas son diferentes a las de una empresa con 500 empleados. La documentación puede ser más simple. Lo que no puede faltar en ningún caso es: Política de Privacidad, base legal para cada tratamiento, y algún procedimiento para responder solicitudes ARCOP.
¿Qué pasa si incumplo una sola obligación?
Depende de cuál. No tener RAT o tener una Política de Privacidad incompleta son infracciones graves con multas de hasta 10.000 UTM (~$670M CLP). No notificar una brecha de datos sensibles en 72 horas es infracción gravísima (hasta 20.000 UTM). Las consecuencias no son uniformes — cada obligación tiene su propio nivel de riesgo. Para el detalle de las sanciones por tipo de infracción, consulta nuestra guía de multas de la Ley 21.719.
¿Puedo externalizar el cumplimiento de estas obligaciones a un consultor?
Puedes externalizar la preparación de los documentos y la asesoría técnica, pero la responsabilidad legal es siempre del responsable del tratamiento — es decir, tu empresa. Un consultor puede ayudarte a generar la Política de Privacidad, el RAT y los protocolos, pero si esos documentos están incompletos o son incorrectos, la infracción es de tu empresa, no del consultor. Lo que sí puedes externalizar completamente es el rol de DPO externo, que tiene consecuencias operativas pero no la responsabilidad regulatoria frente a la APDP.
Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.