Caso práctico: cómo cumplir la Ley 21.719 en una PYME chilena
Recorrido paso a paso por una PYME chilena ficticia que implementa la Ley 21.719: diagnóstico, inventario de datos, política de privacidad, contratos, formularios, capacitación y plan de 90 días con tiempos y costos reales.
La teoría de la Ley 21.719 está bien cubierta en blogs y webinars. Lo que falta —y lo que más nos piden los clientes— es ver cómo se hace en una empresa real. En este artículo seguimos el camino completo de "Distribuidora del Maule SpA" (PYME ficticia de 22 trabajadores en Talca, dedicada a distribución de insumos para construcción), desde el día en que el directorio decide iniciar el proyecto hasta el día 90, cuando la empresa queda en posición defendible frente a la futura Agencia de Protección de Datos Personales.
El objetivo no es entregar otra checklist genérica, sino mostrar el proceso con tiempos, decisiones y costos realistas para que tú puedas estimar el tuyo.
🏭 El punto de partida: Distribuidora del Maule SpA
- Sector: distribución de materiales de construcción.
- Tamaño: 22 trabajadores (1 gerente, 1 asistente administrativa, 4 vendedores, 12 operarios de bodega, 4 conductores).
- Sistemas: ERP local (Defontana), CRM gratuito (Bitrix24 cloud), Outlook + OneDrive corporativo, WhatsApp Business, sitio web con formulario de contacto, cámaras de seguridad en bodega.
- Datos personales que trata:
- Empleados (contratos, datos de salud declarados, contactos de emergencia).
- Clientes (PYMES y constructoras pequeñas; mayoría persona jurídica, pero contactos personales).
- Proveedores personas naturales (transportistas, gasfíteres).
- Postulantes (CVs recibidos por correo).
- Visitantes a bodega (cámaras y libro de visitas).
📅 Día 1 al 15: Diagnóstico y prioridades
Decisión inicial: el gerente general designa a la asistente administrativa —una contadora con 6 años en la empresa— como coordinadora del proyecto. No será DPO formal (no es obligatorio para esta PYME), pero centralizará el cumplimiento.
Actividades de la primera quincena:
- Reunión de directorio (2 horas) para alinear alcance, presupuesto y plazos.
- Workshop con todas las áreas (medio día) para mapear qué datos se tratan y dónde.
- Lista preliminar de hallazgos:
- El sitio web tiene un formulario sin política de privacidad enlazada.
- Los CVs llegan a un correo personal, no corporativo.
- WhatsApp Business se usa para confirmar pedidos con clientes y para coordinar turnos con conductores.
- Las cámaras de seguridad no tienen cartelería visible.
- No hay contratos con los proveedores cloud (Defontana, Bitrix24, Microsoft).
- Diagnóstico de obligación de DPO: la PYME no realiza tratamientos masivos, no maneja datos sensibles a gran escala, no es organismo público. No requiere DPO formal, pero sí debe cumplir el resto de la ley. Para profundizar, ver: DPO en Chile: ¿quién puede ser el Encargado?.
Costo estimado de esta etapa: tiempo interno (≈40 horas-persona) + asesoría puntual de 4 horas a un consultor (≈$240.000 CLP).
📋 Día 16 al 30: Inventario de tratamientos
El inventario es la pieza fundacional. Sin él, no se puede priorizar nada. Distribuidora del Maule construye una planilla simple con estas columnas:
| Categoría titular | Datos | Finalidad | Base licitud | Sistema | Plazo retención | Destinatarios |
|---|---|---|---|---|---|---|
| Empleados | Identificación, salud declarada, contacto emergencia | Gestión laboral | Contrato + obligación legal | ERP, OneDrive | Contrato + 5 años | AFP, ISAPRE, mutual, SII |
| Clientes (contacto) | Nombre, correo, teléfono | Gestión comercial | Contrato + interés legítimo | CRM, ERP | Relación + 6 años | — |
| Postulantes | CV (incluye dirección, foto) | Selección | Consentimiento | Correo | 6 meses post-proceso | — |
| Proveedores PN | Identificación, cuenta bancaria | Pago de servicios | Contrato + obligación legal | ERP | Contrato + 6 años | SII, banco |
| Visitantes bodega | Imagen (cámaras), nombre/RUT (libro) | Seguridad | Interés legítimo | DVR, libro físico | 30 días video / 1 año libro | — |
Hallazgos del inventario:
- Hay 7 tratamientos formales identificados.
- 3 tienen base de licitud sólida (contrato/obligación legal).
- 2 dependen de interés legítimo (clientes B2B y cámaras): hay que documentar el análisis.
- 2 dependen de consentimiento (postulantes y formulario web): hay que reformular cómo se obtiene.
Tiempo invertido: ≈25 horas-persona internas. Sin costo externo en esta etapa.
📜 Día 31 al 45: Política de privacidad y formularios
Con el inventario claro, se redactan los documentos públicos.
Decisiones tomadas:
- Política de privacidad pública, publicada en el sitio web, generada en una primera versión con el generador de política de privacidad y luego revisada por un abogado externo.
- Aviso de privacidad al postular: los CVs ahora se reciben en un correo corporativo dedicado (
postulaciones@distribuidora.cl), con respuesta automática que adjunta el aviso de privacidad y plazos de conservación. - Formulario de contacto del sitio web rediseñado: casilla independiente y vacía por defecto para autorizar respuesta a la consulta y casilla separada para envío de promociones.
- Cláusula de cámaras: cartelería en accesos a bodega informando que el lugar está videovigilado, finalidad, responsable y plazo de conservación.
- Política interna de uso aceptable: los empleados firman una nueva política que regula el uso de WhatsApp Business, OneDrive y datos de clientes.
Tiempo y costo: ≈30 horas-persona internas + abogado externo para revisar política (8 horas, ≈$480.000 CLP) + cartelería de cámaras (≈$60.000 CLP).
Para detalles sobre cómo redactar el consentimiento del formulario, ver: Consentimiento válido Ley 21.719: requisitos para empresas chilenas.
🤝 Día 46 al 60: Contratos con encargados
Distribuidora del Maule revisa y firma contratos de encarguía con todos sus proveedores que tratan datos:
| Proveedor | Servicio | Acción tomada |
|---|---|---|
| Defontana | ERP en cloud | DPA estándar firmado desde el panel del proveedor |
| Bitrix24 | CRM en cloud | DPA firmado online + revisión de cláusulas de transferencia internacional |
| Microsoft 365 | Correo y OneDrive | DPA aceptado en panel de administración |
| Empresa de cámaras | Mantención DVR | Contrato en papel adaptado para incorporar cláusulas de la Ley 21.719 |
| Asesor contable externo | Liquidación de sueldos | Anexo al contrato vigente con cláusulas específicas |
| Empresa de email marketing (Mailchimp) | Campañas a clientes | DPA firmado online |
Para los proveedores cloud globales, esto implica también declarar las transferencias internacionales en la política pública. Ver: Transferencia internacional de datos: guía para empresas chilenas.
Tiempo invertido: ≈20 horas-persona internas + revisión legal de contratos atípicos (4 horas, ≈$240.000 CLP).
🛡️ Día 61 al 75: Medidas de seguridad y procedimientos
La ley exige medidas de seguridad apropiadas al riesgo. Para esta PYME, lo que se implementó:
- MFA (autenticación de dos factores) activado en Microsoft 365, Bitrix24 y Defontana.
- Política de contraseñas: mínimo 12 caracteres, cambio cada 6 meses, prohibición de reuso.
- Cifrado en reposo confirmado con cada proveedor (todos lo ofrecen por defecto).
- Backup semanal del ERP a un disco cifrado custodiado en caja fuerte.
- Procedimiento de baja: cuando un empleado deja la empresa, se desactivan accesos en menos de 24 horas y se documenta.
- Procedimiento de derechos ARCO: una bandeja de entrada (
privacidad@distribuidora.cl) recibe solicitudes y un flujo simple en planilla las gestiona dentro del plazo legal de 30 días. Ver: Derechos ARCO bajo la Ley 21.719. - Procedimiento de notificación de brechas: protocolo escrito que define cómo escalar al gerente general y, si corresponde, notificar a la APDP en menos de 72 horas. Ver: Brechas de seguridad: notificación en 72 horas.
Tiempo invertido: ≈25 horas-persona internas + asesoría TI puntual (8 horas, ≈$320.000 CLP).
🎓 Día 76 al 90: Capacitación y cierre
El último tramo se dedica a capacitación y operativización:
- Charla de 2 horas a todos los trabajadores sobre la Ley 21.719, qué datos están protegidos y cómo deben tratarlos.
- Inducción a nuevos empleados: nuevo módulo en el onboarding que cubre privacidad y seguridad de la información.
- Capacitación específica al equipo comercial sobre uso correcto del CRM y cómo gestionar consentimientos.
- Definición de KPI internos: número de solicitudes ARCO recibidas y tiempo de respuesta, número de incidentes detectados, % de proveedores con DPA firmado.
- Acta de cierre del proyecto firmada por el gerente general, que documenta el alcance ejecutado y el plan anual de mejora.
Tiempo invertido: ≈15 horas-persona internas + facilitador externo para la capacitación (4 horas, ≈$240.000 CLP).
💰 Resumen de inversión total
Después de 90 días, Distribuidora del Maule cierra el proyecto con:
- Tiempo interno acumulado: ≈155 horas-persona (≈4 semanas de la coordinadora a tiempo completo, distribuidas a lo largo de 3 meses).
- Costos externos: ≈$1.580.000 CLP (asesor inicial, abogado, asesoría TI, capacitación, cartelería).
- Costo total estimado: aproximadamente $3 a $4 millones de pesos, considerando el costo de oportunidad del tiempo interno.
Para una PYME, esto es menos del 0,5% de la facturación anual y muy inferior a las potenciales multas y sanciones de la Ley 21.719, que parten en 100 UTM y pueden escalar a varios miles según la gravedad.
⚠️ Errores que la PYME evitó
- Empezó por el inventario, no por la política: sin saber qué tratamientos había, ningún documento sirve.
- No designó DPO innecesariamente: dejó la función en la coordinadora con apoyo externo puntual.
- Usó los DPAs estándar de cada proveedor cloud (ya alineados con CCT) en vez de redactar templates propios.
- Capacitó a todo el equipo: la mayoría de los incidentes humanos se evitan con una charla bien hecha.
📅 Plan anual de mejora (Año 2)
El proyecto no termina el día 90. Distribuidora del Maule programa para el año siguiente: auditoría interna semestral del inventario y los DPAs, renovación anual de capacitaciones, un simulacro de respuesta a incidentes y evaluación de migrar hacia ISO 27001 si entra a contratos con grandes mineras o constructoras que la exijan.
📌 Conclusión
Cumplir la Ley 21.719 en una PYME no requiere un equipo dedicado ni un presupuesto millonario. Requiere método, secuencia correcta y disciplina operativa. El caso de Distribuidora del Maule muestra que en 90 días, con una coordinadora interna y asesoría puntual, una empresa de 22 trabajadores puede pasar de cero a estar en posición defendible frente a una eventual fiscalización. El error más caro no es invertir mal, sino no empezar a tiempo.
🛠️ Empieza hoy: tu política de privacidad en 5 minutos
El primer entregable visible de cualquier proyecto de cumplimiento es la política de privacidad pública. Es lo primero que un fiscalizador, un titular o un cliente B2B revisará de tu empresa.
👉 Genera gratis tu política de privacidad para Chile y publica en minutos un documento alineado con la Ley 21.719.
📚 Sigue leyendo
- ¿Mi pyme necesita cumplir con la ley de datos personales? Guía 2025
- Checklist: 10 acciones para cumplir la ley de datos personales
- DPO en Chile: el Delegado de Protección de Datos bajo la Ley 21.719
- Consentimiento válido bajo la Ley 21.719 en Chile
- Transferencia internacional de datos personales en Chile
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →