Volver al blog
ley de datos personales chileprotección de datos empresascumplimiento normativochecklist privacidadiso 27001 chile

Checklist: 10 acciones para cumplir la ley de datos personales en tu empresa

Checklist práctico con 10 acciones concretas para cumplir la nueva ley de datos personales en Chile, con tiempos estimados y prioridades.

FideliNorm | MAC Consultores

Checklist: 10 acciones para cumplir la ley de datos personales en tu empresa

Después de publicar nuestros artículos sobre quiénes están obligados a cumplir la nueva Ley de Datos Personales (Ley N° 21.719), las sanciones aplicables y la relación con ISO 27001, la pregunta natural que recibimos en FideliNorm — MAC Consultores es: "OK, ya entendí. Pero ¿qué tengo que hacer concretamente?".

En este artículo te entregamos un checklist práctico, ordenado por prioridad, con las 10 acciones esenciales que toda empresa chilena debe ejecutar para llegar preparada a diciembre de 2026. Cada una incluye tiempos estimados realistas y nivel de dificultad, basados en proyectos que ya hemos ejecutado.

Imprime esta lista, llévala a tu próxima reunión de comité y empieza a tachar.

Antes del checklist: la pregunta inicial

Antes de partir, responde honestamente: ¿Tu empresa trata datos personales? (Spoiler: la respuesta es sí). Si tienes empleados, clientes, proveedores personas naturales, formularios web, cámaras de seguridad, lista de correos o WhatsApp Business, ya estás tratando datos.

Listo. Ahora sí, al checklist.

✅ 1. Realiza un inventario de datos personales

Objetivo: Saber exactamente qué datos personales trata tu empresa, dónde están, quién accede y por qué.

Cómo: Levanta un registro de actividades de tratamiento que incluya:

  • Categoría de titulares (empleados, clientes, proveedores).
  • Tipos de datos (identificación, contacto, salud, financieros).
  • Finalidad del tratamiento.
  • Base legal (consentimiento, contrato, obligación legal).
  • Sistemas y ubicación física/digital.
  • Plazos de conservación.
  • Destinatarios y transferencias.

Tiempo estimado: 3 a 6 semanas para una pyme. 8 a 12 semanas para una empresa mediana.

Dificultad: Media. Es tedioso, pero metodológicamente claro.

Por qué es prioridad #1: Sin este inventario no puedes diseñar nada. Es la base sobre la que se construye todo el programa de cumplimiento normativo.

✅ 2. Designa un Delegado de Protección de Datos (DPD)

Objetivo: Tener un responsable formal que coordine el cumplimiento.

Cómo: Define si tu empresa debe designar DPD obligatoriamente (empresas grandes, tratamientos a gran escala, datos sensibles) o si lo hará voluntariamente. Luego:

  • Selecciona perfil con conocimientos legales y técnicos.
  • Formaliza el cargo por escrito.
  • Reporta a la alta dirección, sin conflictos de interés.
  • Inscríbelo ante la Agencia cuando esté operativa.

Tiempo estimado: 2 a 4 semanas (selección y formalización).

Dificultad: Baja-Media. La formalización es simple; encontrar el perfil adecuado a veces no.

Tip: Para pymes, el DPD puede ser externo (servicio contratado), lo que reduce significativamente el costo y aporta independencia.

✅ 3. Actualiza tus avisos de privacidad y formularios de consentimiento

Objetivo: Informar a los titulares sobre el tratamiento de sus datos de manera clara, transparente y conforme a la ley.

Cómo: Revisa y rediseña:

  • Política de privacidad de tu sitio web (lenguaje claro, no jurídica).
  • Formularios de captura de leads y suscripciones.
  • Cláusulas de privacidad en contratos laborales.
  • Cláusulas en contratos comerciales con clientes y proveedores.
  • Avisos en cámaras de videovigilancia.

Cada consentimiento informado debe ser libre, expreso, específico y verificable. Las casillas pre-marcadas ya no son válidas.

Tiempo estimado: 4 a 6 semanas.

Dificultad: Media. Requiere coordinación entre legal, marketing y desarrollo web.

✅ 4. Define las bases de licitud para cada tratamiento

Objetivo: Asegurar que cada uso de datos tiene un fundamento legal sólido.

Cómo: Para cada tratamiento del inventario (acción #1), identifica una de estas bases:

  1. Consentimiento del titular.
  2. Ejecución de un contrato (o medidas precontractuales).
  3. Obligación legal (laboral, tributaria, sectorial).
  4. Interés vital del titular.
  5. Interés público.
  6. Interés legítimo del responsable (con análisis de balance).

Documenta la base elegida y, en el caso de interés legítimo, realiza el test de balance que exige la ley.

Tiempo estimado: 2 a 3 semanas (en paralelo con acción #1).

Dificultad: Media-Alta. Requiere criterio jurídico para casos límite.

✅ 5. Implementa el procedimiento de derechos ARCOPOL

Objetivo: Estar preparado para responder solicitudes de titulares en el plazo legal de 30 días.

Cómo:

  • Crea un canal único de recepción (formulario web + email dedicado).
  • Define un flujo interno de validación de identidad, búsqueda y respuesta.
  • Designa responsables y plazos internos (sugerencia: 20 días para no rozar el límite).
  • Documenta cada solicitud y respuesta.
  • Capacita al equipo de atención al cliente para detectar solicitudes ARCOPOL implícitas.

Derechos a cubrir: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido, Limitación.

Tiempo estimado: 4 a 8 semanas.

Dificultad: Media. Lo difícil es operativizar la búsqueda de datos en sistemas dispersos.

✅ 6. Establece medidas de seguridad técnicas y organizativas

Objetivo: Proteger los datos contra accesos no autorizados, pérdida, alteración o divulgación.

Cómo: Implementa, como mínimo:

  • Cifrado de respaldos y datos sensibles en reposo.
  • Cifrado en tránsito (HTTPS, VPN, TLS).
  • Control de accesos basado en roles (principio de mínimo privilegio).
  • Política de contraseñas robusta + autenticación de doble factor.
  • Respaldos con periodicidad y prueba de restauración.
  • Registros (logs) de actividad de sistemas críticos.
  • Antimalware y actualizaciones de seguridad.
  • Acuerdos de confidencialidad para empleados y proveedores.

Si tu empresa tiene ISO 27001 Chile, ya cubres buena parte de este punto.

Tiempo estimado: 3 a 6 meses (según madurez actual).

Dificultad: Alta. Requiere inversión técnica y cambio cultural.

✅ 7. Define un protocolo de gestión de brechas de seguridad

Objetivo: Cumplir con la obligación legal de notificar brechas en 72 horas a la Agencia y, cuando corresponda, a los titulares afectados.

Cómo:

  • Crea un comité de respuesta con roles definidos (TI, legal, comunicaciones, dirección).
  • Define el flujo de detección, escalamiento, contención y notificación.
  • Prepara plantillas de notificación a la Agencia y a titulares.
  • Lleva un registro de brechas (incluso las que no requieren notificación externa).
  • Realiza simulacros anuales.

Tiempo estimado: 4 a 6 semanas para diseñar e implementar.

Dificultad: Media. La parte difícil es mantener el protocolo vivo y probado.

Dato crítico: Las 72 horas comienzan desde que tienes conocimiento de la brecha, no desde que termina la investigación.

✅ 8. Capacita a tu equipo en protección de datos

Objetivo: Que cada persona que trata datos en tu empresa entienda sus responsabilidades.

Cómo:

  • Capacitación general anual a todo el personal (1-2 horas).
  • Capacitación específica para roles críticos: ventas, marketing, RRHH, atención al cliente, TI (4-8 horas).
  • Onboarding obligatorio para nuevos ingresos.
  • Material de refuerzo: infografías, micro-cápsulas, recordatorios periódicos.
  • Evaluación con seguimiento de comprensión.

La cultura de protección de datos es lo que separa a empresas con cumplimiento real de empresas con cumplimiento decorativo.

Tiempo estimado: 6 a 8 semanas para diseñar el programa, recurrente.

Dificultad: Media. La constancia es el mayor desafío.

✅ 9. Revisa contratos con proveedores que tratan datos por cuenta de tu empresa

Objetivo: Asegurar que tus proveedores cumplen estándares equivalentes y formalizar la relación contractual.

Cómo:

  • Identifica encargados del tratamiento: hosting, CRM, email marketing, payroll, sistemas contables, servicios de cobranza.
  • Firma o actualiza contratos de tratamiento de datos con cada uno, incluyendo: finalidades, medidas de seguridad, subcontratistas, transferencias internacionales, plazos de devolución/eliminación.
  • Audita o solicita certificaciones a proveedores críticos (ISO 27001, SOC 2).
  • Mantén un registro actualizado de proveedores y contratos.

Tiempo estimado: 8 a 12 semanas (depende del número de proveedores).

Dificultad: Media-Alta. La negociación contractual con grandes proveedores (Google, AWS, Microsoft) ya está estandarizada; con proveedores pequeños puede ser más artesanal.

✅ 10. Documenta tu programa y prepárate para auditorías

Objetivo: Tener evidencia formal del cumplimiento, lista para mostrar ante una eventual fiscalización de la Agencia.

Cómo:

  • Compila un manual de protección de datos que integre políticas, procedimientos y registros.
  • Mantén un registro de actividades de tratamiento actualizado.
  • Conserva evidencias de capacitación, DPIA, contratos firmados, registro de brechas, respuestas ARCOPOL.
  • Programa revisiones periódicas (mínimo anuales) y auditorías internas (cada 1-2 años).
  • Prepara un resumen ejecutivo de cumplimiento listo para presentar a la dirección y a fiscalizadores.

Tiempo estimado: Continuo, con un esfuerzo inicial de 4 a 6 semanas para consolidar.

Dificultad: Media. La trampa común es documentar al inicio y dejar que la documentación quede obsoleta.

Resumen: cronograma realista de implementación

Para una pyme típica que parte desde cero, una hoja de ruta razonable sería:

MesAcciones
1-2Inventario de datos (#1), bases de licitud (#4)
2-3Designación DPD (#2), avisos de privacidad (#3)
3-5ARCOPOL (#5), brechas (#7)
4-8Medidas de seguridad (#6), proveedores (#9)
6-9Capacitación (#8)
9-10Documentación final (#10)

Total: 9 a 10 meses para llegar a un cumplimiento sólido. Empresas medianas o con tratamientos complejos pueden requerir 12 a 18 meses.

Errores comunes que debes evitar

A lo largo de decenas de proyectos hemos visto los mismos errores repetirse. Cuídate especialmente de:

  • Empezar por la tecnología: comprar herramientas antes de tener inventario es desperdicio garantizado.
  • Copiar políticas de internet: las plantillas genéricas no protegen y se notan a kilómetros en una fiscalización.
  • Tratar el cumplimiento como proyecto único: es un programa permanente, no un hito.
  • Excluir a la dirección: sin compromiso de la alta gerencia, el programa muere a los 6 meses.
  • No medir: si no hay indicadores, no hay mejora.

Conclusión: la diferencia entre tener un programa y "estar al día"

Cumplir con la ley de datos personales chile no es marcar checkboxes en una lista. Es construir un sistema de gestión que viva en la operación cotidiana de tu empresa. Las 10 acciones de este checklist son la columna vertebral de ese sistema.

La buena noticia es que cada acción es alcanzable, está estandarizada y tiene plantillas, herramientas y metodologías probadas detrás. La mala noticia es que requiere tiempo, decisión y disciplina sostenida.

Y la mejor noticia: las empresas que invierten ahora en protección de datos empresas no solo evitan sanciones; construyen un activo competitivo difícil de copiar: la confianza de sus clientes, empleados y socios.

¿Quieres acelerar este checklist con apoyo experto?

En FideliNorm — MAC Consultores ejecutamos este checklist completo de manera modular: puedes contratar el programa integral o trabajar acciones específicas según tus prioridades y presupuesto. Cada proyecto se adapta al tamaño, rubro y madurez de tu empresa.

Solicita una propuesta personalizada y te entregamos un plan con acciones, plazos y tarifas en menos de una semana. Contáctanos o escríbenos a contacto@fidelinorm.cl.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →