Ley 21.719 para Empresas de Delivery y Logística
Las empresas de delivery y logística tratan datos personales en cada envío: datos del remitente, del destinatario, dirección de entrega, historial de pedidos y en algunos casos datos de pago. Los repartidores también generan datos de geolocalización vinculados a su identidad que deben protegerse. Las plataformas digitales de delivery concentran millones de datos de usuarios, convirtiéndolas en objetivos prioritarios de ciberataques.
Cómo Empresas de Delivery y Logística interactúa con datos personales
Las plataformas de delivery y empresas de logística acumulan dos tipos de datos especialmente sensibles que a menudo se subestiman: las direcciones de domicilio de miles de clientes y la geolocalización en tiempo real de sus repartidores. La dirección de entrega no es solo una dirección postal —es el lugar donde vive o trabaja esa persona, vinculado a sus patrones de consumo, horarios y hábitos. Una base de datos de delivery con 100.000 registros expuesta públicamente es una guía detallada del paradero de personas físicas. En cuanto a los repartidores, la geolocalización en tiempo real vinculada a su identidad es un dato laboral regulado que debe documentarse en el contrato de trabajo y protegerse con medidas de seguridad adecuadas. Las plataformas digitales de delivery también usan tecnología de rastreo del comportamiento del usuario (qué pide, con qué frecuencia, a qué hora) para perfilar automáticamente a sus clientes, lo que activa el derecho a no ser objeto de decisiones automatizadas cuando ese perfil se usa para determinar precios o acceso a promociones.
¿Qué datos personales trata tu empresas de delivery y logística?
Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.
Tu principal riesgo
La geolocalización de repartidores combinada con sus datos de identidad son datos personales que deben protegerse. La exposición de direcciones de entrega de miles de clientes puede facilitar robos y fraudes. Una brecha en una plataforma de delivery de alto volumen puede afectar a cientos de miles de titulares simultáneamente, lo que agrava la sanción.
Obligaciones específicas para Empresas de Delivery y Logística
Publicar una Política de Privacidad accesible en la app y sitio web que informe a los clientes sobre el tratamiento de sus datos: dirección de entrega, datos de pago, historial de pedidos, datos de geolocalización para el seguimiento en tiempo real del repartidor, y datos de comportamiento para personalización de la experiencia.
Informar a los repartidores mediante cláusula en el contrato de trabajo o de prestación de servicios sobre la recopilación y uso de su geolocalización en tiempo real durante la jornada laboral: finalidad (gestión operativa de rutas), sistema de almacenamiento y plazo de conservación de los datos de ruta.
Implementar controles de acceso por rol en la base de datos de pedidos y direcciones de clientes: el equipo de atención al cliente accede solo a los datos del pedido en consulta; no existen accesos irrestrictos a la base de datos completa de clientes sin justificación operativa documentada.
Obtener consentimiento separado para el uso de datos de comportamiento de compra con fines de personalización, recomendaciones algorítmicas o comunicaciones de marketing; las notificaciones push y emails de seguimiento del pedido tienen base en el contrato, pero las comunicaciones comerciales requieren consentimiento.
Documentar en el RAT todos los flujos de datos: clientes (pedidos, direcciones, pago, geolocalización para seguimiento), repartidores (identidad, vehículo, geolocalización laboral, historial de rutas), restaurantes y comercios socios (datos de contacto, datos de integración). Para cada flujo: base legal, plazo de conservación y medidas de seguridad.
Ejemplo de cumplimiento paso a paso
- 1
Actualiza la Política de Privacidad de la plataforma
Asegúrate de que la política de privacidad explica claramente el uso de geolocalización del cliente para el seguimiento del pedido, el uso de datos de comportamiento para recomendaciones, y la conservación del historial de pedidos. Debe estar accesible en la app antes del registro.
- 2
Informa a los repartidores sobre la geolocalización laboral
Agrega al contrato con repartidores una cláusula que explique el seguimiento GPS durante la jornada: para qué se usa (asignación de pedidos, optimización de rutas), quién tiene acceso, cuánto tiempo se conserva y cómo pueden acceder a esa información.
- 3
Implementa control de acceso a la base de datos de clientes
Revisa quién en tu equipo tiene acceso a la base de datos de pedidos y direcciones. Implementa perfiles de acceso: soporte accede solo al pedido consultado, supervisores ven el historial de un cliente, solo ingenieros con autorización pueden consultar la base completa.
- 4
Documenta el RAT
Registra todos los flujos de datos de la plataforma: clientes, repartidores, comercios socios, sistemas de pago, plataformas de marketing. Para cada uno: tipo de datos, finalidad, base legal, plazo de conservación y nivel de acceso autorizado.
- 5
Prepara el protocolo de notificación de brechas
Una brecha en una plataforma de delivery puede afectar a cientos de miles de personas simultáneamente. Define el procedimiento: cómo detectas la brecha, quién evalúa el alcance, cómo notificas a la APDP dentro de 72 horas y cómo comunicas a los usuarios afectados sin generar pánico innecesario.
Genera los documentos que tu empresas de delivery y logística necesita
Sin registro · Sin pago · Listo en minutos
Multas y sanciones para Empresas de Delivery y Logística
La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).
Una empresa de delivery que sufre una brecha en su base de datos exponiendo direcciones de entrega, teléfonos y patrones de consumo de miles de clientes puede recibir multas de hasta 10.000 UTM (~$700M CLP) más la obligación de notificar a cada titular afectado (Art. 14 sexies, Ley 21.719).
Preguntas frecuentes sobre privacidad para empresas de delivery y logística
¿Los datos de geolocalización de mis repartidores son datos personales?
Sí. La geolocalización en tiempo real vinculada a la identidad del trabajador es dato personal bajo la Ley 21.719. Su recopilación para gestión operativa tiene base legal en el contrato de trabajo, pero debes informarla en la política de privacidad interna para RRHH, documentarla en el RAT y aplicar medidas de seguridad para evitar accesos no autorizados.
¿Puedo conservar el historial completo de pedidos y direcciones de mis clientes indefinidamente?
No. El principio de limitación del plazo de conservación de la Ley 21.719 exige que los datos se eliminen cuando ya no sean necesarios para la finalidad que justificó su recopilación. Puedes conservar el historial por el tiempo necesario para gestión de garantías y efectos tributarios, pero pasado ese plazo debes eliminar o anonimizar los datos de dirección y pago.
¿Necesito consentimiento para enviar notificaciones push o emails sobre el estado del pedido?
Las comunicaciones directamente relacionadas con el pedido (confirmación, seguimiento, entrega) tienen base legal en el contrato (Art. 13 letra c). Sin embargo, para enviar comunicaciones de marketing, promociones u ofertas usando esos datos de contacto, necesitas consentimiento separado para esa finalidad (Art. 12, Ley 21.719).
Más recursos útiles
Industrias relacionadas
Herramientas para tu empresas de delivery y logística
Lee más sobre la ley
Empresas de Delivery y Logística
Cumple la Ley 21.719 antes de que entre en vigor
Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.